기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Private CA SCEP용 커넥터
SCEP(Simple Certificate Enrollment Protocol)용 커넥터는 SCEP 지원 모바일 디바이스 및 네트워킹 장비에 AWS Private Certificate Authority 연결됩니다. SCEP용 커넥터를 사용하면 AWS Private CA 를 사용하여 인증서를 발급하고 SCEP 디바이스를 등록할 수 있습니다. SCEP용 커넥터는 널리 사용되는 모바일 디바이스 관리(MDM) 시스템과 함께 사용할 수 있으며 SCEP를 지원하는 클라이언트 또는 엔드포인트와 함께 작동하도록 설계되었습니다.
**Topics**
+ [특성](#features-c4scep)
+ [SCEP용 커넥터 시작하기](#how-to-gs-c4scep)
+ [관련 서비스](#related-services-c4scep)
+ [SCEP용 액세스 커넥터](#accessing-c4scep)
+ [가격 책정](#pricing-c4scep)
+ [SCEP 개념용 커넥터](c4scep-concepts.md)
+ [SCEP 고려 사항 및 제한 사항에 대한 커넥터 이해](c4scep-considerations-limitations.md)
+ [SCEP용 커넥터 설정](connector-for-scep-setting-up.md)
+ [SCEP용 커넥터 시작하기](connector-for-scep-getting-started.md)
+ [SCEP용 커넥터에 대한 MDM 시스템 구성](using-connector-for-scep-with-mdm.md)
+ [SCEP용 커넥터의 보안](c4scep-security.md)
+ [SCEP용 모니터 커넥터](c4scep-monitoring-overview.md)
+ [SCEP 문제에 대한 AWS Private Certificate Authority 커넥터 문제 해결](troubleshoot-connector-scep.md)
## 특성
**SCEP 프로토콜 지원** - SCEP는 인증 기관(CA)에서 디지털 자격 증명 인증서를 가져와 모바일 디바이스 및 네트워킹 기어에 배포하기 위해 널리 채택된 프로토콜입니다. SCEP용 커넥터를 사용하면 SCEP를 사용하여 엔드포인트를 등록할 수 있습니다.
**모바일 디바이스 등록** - Microsoft Intune 및 Jamf Pro를 비롯한 널리 사용되는 MDM 시스템에서 SCEP용 커넥터를 사용할 수 있습니다.
**대규모 인증서 발급** - 커넥터의 SCEP 엔드포인트를 통해 인증서를 요청하도록 SCEP 지원 디바이스를 구성한 후 클라이언트가 자동으로 인증서를 요청할 수 있습니다 AWS Private CA.
## SCEP용 커넥터 시작하기
시작하려면 [커넥터를 생성하고 커넥터에 사용할 프라이빗 CA를 지정하는 데 도움이 되는 SCEP용 커넥터 관리 콘솔](https://console.aws.amazon.com/pca-connector-scep/home)에서 안내 마법사를 시작합니다. 이 단계를 완료한 후 SCEP용 커넥터는 MDM 시스템 또는 네트워킹 장비에 입력할 수 있는 엔드포인트 및 기타 구성 파라미터를 제공합니다. MDM 시스템 또는 네트워킹 장비를 구성한 후 클라이언트는 자동으로 인증서를 요청합니다 AWS Private CA. SCEP용 커넥터를 시작하는 방법에 대한 자세한 내용은 섹션을 참조하세요[SCEP용 커넥터 시작하기](connector-for-scep-getting-started.md).
## 관련 서비스
SCEP용 커넥터는 다음 AWS 서비스와 관련이 있습니다.
+ **AWS Private Certificate Authority** - 자체 프라이빗 CA 운영에 대한 선결제 투자 및 지속적인 유지 관리 비용 없이 가용성이 높은 프라이빗 CA 서비스를 AWS Private CA 제공합니다.
+ **AWS Private CA Active Directory용 커넥터** - AD용 커넥터는 Active Directory(AD)를에 연결합니다 AWS Private CA. 커넥터는에서 AD에서 관리하는 사용자 및 시스템으로의 인증서 교환 AWS Private CA 을 브로커합니다.
## SCEP용 액세스 커넥터
다음 인터페이스 중 하나를 사용하여 SCEP 커넥터용 커넥터를 생성, 액세스 및 관리할 수 있습니다.
+ **AWS Management Console** - SCEP용 커넥터에 액세스하는 데 사용할 수 있는 웹 인터페이스를 제공합니다. [SCEP 관리 콘솔용 커넥터를](https://console.aws.amazon.com/pca-connector-scep/home) 참조하세요.
+ **AWS Command Line Interface** - SCEP용 커넥터 등 다양한 AWS 서비스에 대한 명령을 제공합니다. AWS CLI 는 Windows, macOS 및 Linux에서 지원됩니다. 자세한 내용은 [AWS Command Line Interface](https://aws.amazon.com/cli/) 단원을 참조하십시오.
+ **AWS SDKs** - 언어별 APIs 제공하고 서명 계산, 요청 재시도 처리, 오류 처리와 같은 많은 연결 세부 정보를 처리합니다. 자세한 내용은 [AWS Command Line Interface](https://aws.amazon.com/developer/tools/#SDKs) 단원을 참조하십시오.
+ **SCEP API용 커넥터** - HTTPS 요청을 사용하여 호출하는 하위 수준 API 작업을 제공합니다. SCEP용 커넥터 API를 사용하는 것이 서비스에 액세스하는 가장 직접적인 방법입니다. 그러나 SCEP용 커넥터 API를 사용하려면 애플리케이션에서 요청에 서명할 해시 생성, 오류 처리와 같은 하위 수준의 세부 정보를 처리해야 합니다. 자세한 내용은 [SCEP용 커넥터 API 참조를 참조하세요](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/Welcome.html).
## 가격 책정
SCEP용 커넥터는 추가 비용 AWS Private CA 없이의 기능으로 제공됩니다. 커넥터를 생성하고 업데이트하는 데 사용되는 AWS Private Certificate Authority 작업 및 인증서에 대해서만 비용을 지불합니다.
최신 AWS Private CA 요금 정보는 [AWS Private Certificate Authority 요금을](https://aws.amazon.com/private-ca/pricing/) 참조하세요. [AWS 요금 계산기](https://calculator.aws/#/createCalculator/certificateManager)를 사용하여 비용을 추정할 수도 있습니다.
# SCEP 개념용 커넥터
SCEP용 커넥터는의 추가 기능입니다 AWS Private Certificate Authority.
다음은 SCEP용 커넥터의 주요 개념입니다.
**인증서 서명 요청(CSR)**
디지털 인증서 발급을 위해 CA에 제공되는 필수 정보입니다. 이 정보에는 퍼블릭 키와 자격 증명이 포함됩니다.
**챌린지 암호**
SCEP 프로토콜은 CA에서 인증서를 발급하기 전에 챌린지 암호를 사용하여 요청을 인증합니다. SCEP용 커넥터는 커넥터 유형에 따라 SCEP 챌린지 암호를 처리합니다. 자세한 내용은 [SCEP용 커넥터에 대한 MDM 시스템 구성MDM 시스템 구성](using-connector-for-scep-with-mdm.md) 단원을 참조하십시오.
**인증서 해지**
인증서 취소는 만료 날짜 이전에 발급된 인증서를 취소하는 프로세스입니다. API AWS Command Line Interface, AWS SDK 또는에서 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)를 호출하여 커넥터와 연결된 프라이빗 CA 인증서를 취소할 수 있습니다 AWS CloudFormation.
**SCEP용 커넥터**
SCEP용 커넥터는 SCEP 지원 디바이스 AWS Private CA 에 연결됩니다.
**모바일 디바이스 관리**
모바일 디바이스 관리(MDM)를 사용하면 IT 관리자가 스마트폰, 태블릿 및 기타 엔드포인트 또는 디바이스에 대한 정책을 제어, 보호 및 적용할 수 있습니다. 많은 MDM 시스템은 SCEP 기반 인증서 등록을 위한 내장 통합을 제공합니다.
**SCEP**
SCEP는 인증서를 자동으로 배포하는 표준화된 프로토콜([RFC 8894](https://datatracker.ietf.org/doc/html/rfc8894))입니다. 프로토콜은 디바이스가 CA에서 인증서를 요청할 수 있는 엔드포인트를 제공합니다. SCEP는 챌린지 암호를 사용하여 디바이스에 대한 인증서 발급을 승인합니다. SCEP는 일반적으로 모바일 디바이스 관리(MDM) 시스템 및 네트워킹 장비에 적용됩니다. MDM 솔루션을 사용하면 IT 관리자가 스마트폰, 태블릿 및 Apple 워크스테이션과 같은 기타 엔터티에 대한 정책을 제어, 보호 및 적용할 수 있습니다. 대부분의 MDM 솔루션은 Microsoft Intune, Apple MDM, Jamf Pro와 같은 SCEP를 지원합니다. 라우터, 로드 밸런서, Wi-Fi 허브, VPN 디바이스 및 방화벽과 같은 대부분의 네트워킹 장비가 자동 인증서 등록에 SCEP를 사용합니다.
**SCEP 프로필**
SCEP 프로파일에는 인증서 프로파일을 정의하는 데 사용되는 구성 파라미터가 포함되어 있습니다. 여기에는 인증서 유효 기간, 키 크기, SCEP 구성 이름, 챌린지 암호, 실패한 시도 횟수 및 재시도 간격, 인증서 발급과 관련된 기타 정보가 포함됩니다. MDM 시스템 및 인증서 관리 플랫폼은 일반적으로 인증을 위해 인증서를 요청할 SCEP 프로파일을 클라이언트로 전송합니다.
# SCEP 고려 사항 및 제한 사항에 대한 커넥터 이해
SCEP용 커넥터 사용 시 다음 고려 사항 및 제한 사항에 유의하세요.
## 고려 사항
**CA 작동 모드**
범용 작동 모드를 사용하는 프라이빗 CAs에서만 SCEP용 커넥터를 사용할 수 있습니다. SCEP용 커넥터는 기본적으로 유효 기간이 1년인 인증서를 발급합니다. 수명이 짧은 인증서 모드를 사용하는 프라이빗 CA는 유효 기간이 7일 이상인 인증서 발급을 지원하지 않습니다. 작동 모드에 대한 자세한 내용은 섹션을 참조하세요[AWS Private CA CA 모드 이해](short-lived-certificates.md).
**챌린지 암호**
+ 챌린지 암호를 매우 신중하게 배포하고 신뢰할 수 있는 개인 및 클라이언트와만 공유합니다. 단일 챌린지 암호를 사용하여 보안 위험이 있는 모든 주체 및 SANs과 함께 모든 인증서를 발급할 수 있습니다.
+ 범용 커넥터를 사용하는 경우 챌린지 암호를 자주 수동으로 교체하는 것이 좋습니다.
**RFC 8894 준수**
SCEP용 커넥터는 HTTP 엔드포인트 대신 HTTPS 엔드포인트를 제공하여 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 프로토콜과 다릅니다.
**CSRs**
+ SCEP용 커넥터로 전송되는 인증서 서명 요청(CSR)에 확장 키 사용(EKU) 확장이 포함되지 않은 경우 EKU 값을 로 설정합니다`clientAuthentication`. 자세한 내용은 [4.2.1.12을 참조하세요. RFC 5280의 확장 키 사용](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.12:~:text=MAX)%0A%0A4.2.1.12.-,Extended%20Key%20Usage,-This%20extension%20indicates).
+ CSRs에서 `ValidityPeriod` 및 `ValidityPeriodUnits` 사용자 지정 속성을 지원합니다. CSR에가 포함되지 않은 경우 유효 기간이 1년인 인증서를 발급`ValidityPeriod`합니다. MDM 시스템에서 이러한 속성을 설정하지 못할 수 있습니다. 하지만 설정할 수 있는 경우 이를 지원합니다. 이러한 속성에 대한 자세한 내용은 [szENROLLMENT\$1NAME\$1VALUE\$1PAIR](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/92f07a54-2889-45e3-afd0-94b60daa80ec)를 참조하세요.
**엔드포인트 공유**
커넥터의 엔드포인트를 신뢰할 수 있는 당사자에게만 배포합니다. 고유한 정규화된 도메인 이름과 경로를 찾을 수 있는 사람은 누구나 CA 인증서를 검색할 수 있으므로 엔드포인트를 보안 암호로 취급합니다.
## 제한 사항
SCEP용 커넥터에는 다음 제한 사항이 적용됩니다.
**동적 챌린지 암호**
범용 커넥터를 통해서만 정적 챌린지 암호를 생성할 수 있습니다. 범용 커넥터에서 동적 암호를 사용하려면 커넥터의 정적 암호를 사용하는 고유한 교체 메커니즘을 구축해야 합니다. SCEP for Microsoft Intune 커넥터 유형은 Microsoft Intune을 사용하여 관리하는 동적 암호에 대한 지원을 제공합니다.
**HTTP**
SCEP용 커넥터는 HTTPS만 지원하고 HTTP 호출에 대한 리디렉션을 생성합니다. 시스템이 HTTP에 의존하는 경우 SCEP용 커넥터가 제공하는 HTTP 리디렉션을 수용할 수 있는지 확인합니다.
**공유 프라이빗 CAs**
소유자인 프라이빗 CAs에서만 SCEP용 커넥터를 사용할 수 있습니다.
# SCEP용 커넥터 설정
이 섹션의 절차는 SCEP용 커넥터를 시작하는 데 도움이 됩니다. 이미 AWS 계정을 생성했다고 가정합니다. 이 페이지의 단계를 완료한 후 SCEP용 커넥터 생성을 진행할 수 있습니다.
**Topics**
+ [1단계: AWS Identity and Access Management 정책 생성](#scep-prequisite-iam)
+ [2단계: 프라이빗 CA 생성](#scep-prequisite-pca)
+ [3단계:를 사용하여 리소스 공유 생성 AWS Resource Access Manager](#scep-prequisite-ram-share-pca)
## 1단계: AWS Identity and Access Management 정책 생성
SCEP용 커넥터를 생성하려면 커넥터에 필요한 리소스를 생성 및 관리하고 사용자를 대신하여 인증서를 발급할 수 있는 기능을 SCEP용 커넥터에 부여하는 IAM 정책을 생성해야 합니다. IAM에 대한 자세한 내용은 IAM *사용 설명서*의 [IAM이란 무엇입니까?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)를 참조하세요.
다음 예제는 SCEP용 커넥터에 사용할 수 있는 고객 관리형 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-scep:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-scep.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## 2단계: 프라이빗 CA 생성
SCEP용 커넥터를 사용하려면의 프라이빗 CA를 커넥터 AWS Private Certificate Authority 에 연결해야 합니다. SCEP 프로토콜에 있는 고유한 보안 취약성으로 인해 커넥터에만 있는 프라이빗 CA를 사용하는 것이 좋습니다.
프라이빗 CA는 다음 요구 사항을 충족해야 합니다.
+ 활성 상태여야 하며 범용 작동 모드를 사용해야 합니다.
+ 프라이빗 CA를 소유해야 합니다. 교차 계정 공유를 통해 공유된 프라이빗 CA는 사용할 수 없습니다.
SCEP용 커넥터와 함께 사용하도록 프라이빗 CA를 구성할 때 다음 고려 사항에 유의하세요.
+ **DNS 이름 제약 조건** - SCEP 디바이스에 대해 발급된 인증서에서 허용되거나 금지된 도메인을 제어하는 방법으로 DNS 이름 제약 조건을 사용하는 것이 좋습니다. 자세한 내용은 [에서 DNS 이름 제약 조건을 적용하는 방법을 참조하세요 AWS Private Certificate Authority](https://aws.amazon.com/blogs/security/how-to-enforce-dns-name-constraints-in-aws-private-ca/).
+ **해지** - 프라이빗 CA에서 OCSP 또는 CRLs 활성화하여 해지를 허용합니다. 자세한 내용은 [AWS Private CA 인증서 해지 방법 계획](revocation-setup.md) 단원을 참조하십시오.
+ **PII** - CA 인증서에 개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 않는 것이 좋습니다. 보안 악용이 발생할 경우 민감한 정보의 노출을 제한하는 데 도움이 됩니다.
+ **루트 인증서를 트러스트 스토어에 저장** - [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)의 인증서와 반환 값을 확인할 수 있도록 루트 CA 인증서를 디바이스 트러스트 스토어에 저장합니다. 트러스트 스토어와 관련된 트러스트 스토어에 대한 자세한 내용은 섹션을 AWS Private CA참조하세요[루트 CA](PcaTerms.md#terms-rootca).
프라이빗 CA를 생성하는 방법에 대한 자세한 내용은 섹션을 참조하세요[에서 프라이빗 CA 생성 AWS Private CA](create-CA.md).
## 3단계:를 사용하여 리소스 공유 생성 AWS Resource Access Manager
SCEP API용 커넥터, AWS Command Line Interface AWS SDK 또는 SCEP용 커넥터 API를 사용하여 프로그래밍 방식으로 SCEP용 커넥터를 사용하는 경우 AWS Resource Access Manager 서비스 보안 주체 공유를 사용하여 SCEP용 커넥터와 프라이빗 CA를 공유해야 합니다. 이렇게 하면 SCEP용 커넥터에 프라이빗 CA에 대한 공유 액세스 권한이 부여됩니다. AWS 콘솔에서 커넥터를 생성하면 리소스 공유가 자동으로 생성됩니다. 리소스 공유에 대한 자세한 내용은 *AWS RAM 사용 설명서*의 [리소스 공유 생성을](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) 참조하세요.
를 사용하여 리소스 공유를 생성하려면 명령을 사용할 AWS CLI AWS RAM **create-resource-share** 수 있습니다. 다음 명령은 리소스 공유를 생성합니다. 공유하려는 프라이빗 CA의 ARN을 *resource-arns* 값으로 지정합니다.
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account
```
를 호출하는 서비스 보안 주체는 프라이빗 CA에 대한 `CreateConnector` 인증서 발급 권한이 있습니다. SCEP용 커넥터를 사용하는 서비스 보안 주체가 AWS Private CA 리소스에 대한 일반적인 액세스 권한을 갖지 못하도록 하려면를 사용하여 권한을 제한합니다`CalledVia`.
# SCEP용 커넥터 시작하기
SCEP용 AWS Private Certificate Authority 커넥터를 사용하면 사설 CA에서 SCEP 지원 디바이스 및 모바일 디바이스 관리(MDM) 시스템으로 인증서를 발급할 수 있습니다. 커넥터를 생성할 때는 인증서를 요청할 수 있는 SCEP URL을 AWS Private Certificate Authority 생성하고 MDM 시스템에 통합하는 데 사용할 수 있는 정보도 제공합니다.
인증서를 발급하려면 AWS Private Certificate Authority 프라이빗 CA를 생성하고 커넥터를 생성한 다음 SCEP 지원 MDM 시스템 및 디바이스를 구성하여 커넥터에서 인증서를 요청해야 합니다.
**Topics**
+ [시작하기 전 준비 사항](#connector-for-scep-getting-started-prerequisites)
+ [1단계: 커넥터 생성](#gs-create-connector-for-scep-console)
+ [2단계: MDM 시스템에 커넥터 세부 정보 복사](#gs-connector-for-scep-view-details)
## 시작하기 전 준비 사항
다음 자습서에서는 SCEP용 커넥터를 생성하는 프로세스를 안내합니다.
이 자습서를 따르려면 프라이빗 CA와 SCEP 지원 디바이스가 필요합니다. 또한 먼저 [SCEP용 커넥터 설정](connector-for-scep-setting-up.md) 섹션에 나열된 사전 조건을 충족해야 합니다.
다음 절차에서는 AWS 콘솔을 사용하여 커넥터를 생성하는 방법을 안내합니다.
**Topics**
+ [시작하기 전 준비 사항](#connector-for-scep-getting-started-prerequisites)
+ [1단계: 커넥터 생성](#gs-create-connector-for-scep-console)
+ [2단계: MDM 시스템에 커넥터 세부 정보 복사](#gs-connector-for-scep-view-details)
## 1단계: 커넥터 생성
범용 커넥터 또는 Microsoft Intune용 SCEP용 커넥터를 생성합니다. 범용 커넥터는 SCEP 지원 엔드포인트와 함께 사용하도록 설계되었으며 SCEP 챌린지 암호를 관리합니다. SCEP for Microsoft Intune용 커넥터는 Microsoft Intune과 함께 사용되며 Microsoft Intune을 사용하여 챌린지 암호를 관리합니다.
------
#### [ General-purpose ]
**범용 커넥터를 생성하려면**
AWS 계정에 로그인하고에서 SCEP용 커넥터 콘솔을 엽니다**[https://console.aws.amazon.com/pca-connector-scep/home](https://console.aws.amazon.com/pca-connector-scep/home)**.
1. **커넥터 생성**을 선택합니다.
1. **커넥터 생성** 페이지에서 필요에 따라 **이름 태그** 필드에 친숙한 이름을 커넥터에 지정합니다. 커넥터 목록에 이름이 표시됩니다. 원하는 경우 태그 추가를 선택하여 커넥터에 **태그를 더** 추가할 수 있습니다. 태그는 AWS 리소스에 할당하는 레이블입니다. 각 태그는 키와 값(선택사항)으로 구성됩니다. 태그를 사용하여 리소스를 검색 및 필터링하거나 AWS 비용을 추적할 수 있습니다.
1. **커넥터 유형**에서 **범용을** 선택합니다.
1. **프라이빗 CA**에서이 커넥터와 함께 사용할 프라이빗 CA를 선택합니다. 또는 **프라이빗 CA 생성을 선택하여 새 CA를 생성합니다**. SCEP 프로토콜의 고유한 취약성으로 인해이 커넥터 전용 프라이빗 CA를 사용하는 것이 좋습니다. 새 CA를 생성한 경우 생성이 완료되면 SCEP용 커넥터 콘솔로 AWS Private CA돌아가 프라이빗 CAs 목록을 새로 고칩니다. 새 프라이빗 CA를 선택할 수 있어야 합니다.
1. **챌린지 암호**에서 **챌린지 암호 자동 생성을** 선택합니다. 이 커넥터를 생성할 때 정적 챌린지 암호를 생성합니다.
1. **연결**에서 **퍼블릭**을 선택하여 퍼블릭 인터넷을 통해 액세스할 수 있는 커넥터를 생성합니다. 또는 **프라이빗**을 선택하고 VPC 엔드포인트를 지정하여 특정 VPC 엔드포인트를 통해서만이 커넥터에 액세스할 수 있도록 제한합니다.
1. **커넥터 생성을** 선택합니다.
------
#### [ Microsoft Intune ]
**Microsoft Intune용 SCEP용 커넥터를 생성하려면**
AWS 계정에 로그인하고에서 SCEP용 커넥터 콘솔을 엽니다**[https://console.aws.amazon.com/pca-connector-scep/home](https://console.aws.amazon.com/pca-connector-scep/home)**.
1. **커넥터 생성**을 선택합니다.
1. **커넥터 생성** 페이지에서 필요에 따라 **이름 태그** 필드에 친숙한 이름을 커넥터에 지정합니다. 커넥터 목록에 이름이 표시됩니다. 원하는 경우 태그 추가를 선택하여 커넥터에 **태그를 더** 추가할 수 있습니다. 태그는 AWS 리소스에 할당하는 레이블입니다. 각 태그는 키와 값(선택사항)으로 구성됩니다. 태그를 사용하여 리소스를 검색 및 필터링하거나 AWS 비용을 추적할 수 있습니다.
1. **커넥터 유형**에서 **Microsoft Intune**을 선택합니다.
1. **애플리케이션(클라이언트) ID**에 Microsoft Entra ID 앱 등록의 애플리케이션(클라이언트) ID를 입력합니다. SCEP용 커넥터와 함께 Microsoft Intune을 사용하는 방법에 대한 자세한 내용은 섹션을 참조하세요[SCEP용 커넥터에 대한 MDM 시스템 구성MDM 시스템 구성](using-connector-for-scep-with-mdm.md).
1. **디렉터리(테넌트) ID 또는 기본 도메인**에 Microsoft Entra ID 앱 등록의 디렉터리(테넌트) ID 또는 기본 도메인을 입력합니다.
1. **프라이빗 CA**에서이 커넥터에 사용할 프라이빗 CA를 선택합니다. 또는 **프라이빗 CA 생성을 선택하여 새 CA를 생성합니다**. SCEP 프로토콜의 고유한 취약성으로 인해이 커넥터 전용 프라이빗 CA를 사용하는 것이 좋습니다. 새 CA를 생성한 경우 생성이 완료되면 SCEP용 커넥터 콘솔로 AWS Private CA돌아가 프라이빗 CAs 목록을 새로 고칩니다. 새 프라이빗 CA를 선택할 수 있어야 합니다.
1. **연결**에서 **퍼블릭**을 선택하여 퍼블릭 인터넷을 통해 액세스할 수 있는 커넥터를 생성합니다. 또는 **프라이빗**을 선택하고 VPC 엔드포인트를 지정하여 특정 VPC 엔드포인트를 통해서만이 커넥터에 액세스할 수 있도록 제한합니다.
1. **커넥터 생성을** 선택합니다.
------
## 2단계: MDM 시스템에 커넥터 세부 정보 복사
커넥터를 생성한 후 커넥터에서 MDM 시스템으로 다음 세부 정보를 복사해야 합니다. 콘솔을 사용하여 커넥터의 세부 정보를 보려면 [SCEP용 커넥터 콘솔 페이지의 목록에서 커넥터를](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 선택합니다.
+ **SCEP URL** - SCEP 클라이언트가 인증서를 요청할 커넥터의 엔드포인트입니다. 이 엔드포인트는 신뢰할 수 있는 엔터티에만 제공해야 합니다.
+ (범용) **챌린지 암호** - **챌린지 암호**에서 이전 절차에서 자동으로 생성한 암호를 선택한 다음 **암호 보기를** 선택하여 암호를 확인합니다. 추가 암호를 생성하려면 **암호 생성을** 선택합니다. 암호를 신중하게 배포하고 신뢰할 수 있는 개인과 클라이언트에게만 배포하도록 주의하십시오. 단일 챌린지 암호를 사용하여 모든 주체 및 SANs과 함께 모든 인증서를 발급할 수 있으므로 주의해야 합니다.
+ (Microsoft Intune) **Open ID** 값 - Microsoft Intune과 통합하는 경우 **Open ID 발급자**, **Open ID 주체** 및 **Open ID 대상**을 Microsoft Entra 앱 등록의 OpenID Connect(OIDC) 자격 증명에 복사해야 합니다. 자세한 내용은 [SCEP용 커넥터에 대한 MDM 시스템 구성MDM 시스템 구성](using-connector-for-scep-with-mdm.md) 단원을 참조하십시오.
# SCEP용 커넥터에 대한 MDM 시스템 구성
단순 인증서 등록 프로토콜(SCEP)은 인증서 등록 및 갱신에 사용되는 표준 프로토콜입니다. SCEP용 커넥터는에서 SCEP 클라이언트 AWS Private Certificate Authority 로 인증서를 자동으로 발급하는 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 기반 SCEP 서버입니다. 커넥터를 생성할 때 SCEP용 커넥터는 SCEP 클라이언트가 인증서를 요청할 수 있는 HTTPS 엔드포인트를 제공합니다. 클라이언트는 서비스에 대한 인증서 서명 요청(CSR)의 일부로 포함된 챌린지 암호를 사용하여 인증합니다. Connector for SCEP를 Microsoft Intune, Omnissa Workspace ONE, Jamf Pro 등 널리 사용되는 모바일 디바이스 관리(MDM) 시스템과 함께 사용하여 모바일 디바이스를 등록할 수 있습니다. SCEP를 지원하는 모든 클라이언트 또는 엔드포인트에서 작동하도록 설계되었습니다.
SCEP용 커넥터는 범용 커넥터와 Microsoft Intune용 SCEP용 커넥터라는 두 가지 유형의 커넥터를 제공합니다. 다음 섹션에서는 작동 방식과 이를 사용하도록 MDM 시스템을 구성하는 방법을 설명합니다.
## 범용 커넥터
범용 커넥터는 전용 커넥터가 있는 Microsoft Intune을 제외하고 SCEP를 지원하는 모바일 디바이스 엔드포인트와 함께 작동하도록 설계되었습니다. Jamf Pro 또는 Omnissa Workspace ONE과 같은 범용 커넥터를 사용하면 SCEP 챌린지 암호를 관리할 수 있습니다. 다음 다이어그램은 모바일 디바이스 관리(MDM) 시스템을 예로 사용하지만 다른 SCEP 지원 시스템 또는 디바이스에도 동일한 기능이 적용됩니다.
![\[SCEP용 커넥터 범용 커넥터의 작동 방식을 설명합니다.\]](http://docs.aws.amazon.com/ko_kr/privateca/latest/userguide/images/GenPurpose.jpg)
1. MDM 시스템(또는 기타 디바이스 또는 시스템)은 SCEP 프로파일을 모바일 클라이언트로 전송합니다. SCEP 프로파일에는 인증서 유효 기간, 챌린지 암호 및 인증서 발급과 관련된 기타 정보와 같이 인증서 프로파일을 정의하는 구성 파라미터가 포함되어 있습니다.
1. 모바일 클라이언트는 인증서를 요청하고 챌린지 암호가 포함된 인증서 서명 요청(CSR)도 전송합니다.
1. SCEP용 커넥터는 챌린지 암호를 검증합니다. 유효한 경우 서비스는 모바일 클라이언트를 AWS Private CA 대신하여에 인증서를 요청합니다.
1. AWS Private CA 는 인증서를 발급하고 SCEP용 커넥터로 전송합니다.
1. SCEP용 커넥터는 발급된 인증서를 모바일 클라이언트로 전송합니다.
## AWS Private CA Microsoft Intune용 SCEP용 커넥터
AWS Private CA SCEP for Microsoft Intune용 커넥터는 Microsoft Intune과 함께 사용하도록 설계되었습니다. SCEP for Microsoft Intune 커넥터 유형을 사용하면 Microsoft Intune을 사용하여 SCEP 챌린지 암호를 관리할 수 있습니다. Microsoft Intune에서 SCEP용 커넥터 사용에 대한 자세한 내용은 섹션을 참조하세요[SCEP용 커넥터용 Microsoft Intune 구성Microsoft Intune 구성](connector-for-scep-intune.md).
Microsoft Intune에서 SCEP용 커넥터를 사용하려면 Microsoft Intune API를 사용하여 특정 기능을 활성화하고 유효한 Microsoft Intune 라이선스를 보유해야 합니다. [Microsoft Intune® 앱 보호 정책](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy)도 검토해야 합니다.
![\[SCEP for Microsoft Intune용 커넥터의 작동 방식.\]](http://docs.aws.amazon.com/ko_kr/privateca/latest/userguide/images/Intune.jpg)
1. Microsoft Intune은 SCEP 프로파일을 모바일 클라이언트로 전송합니다. 프로필에는 모바일 클라이언트가 CSR에 배치하는 암호화된 챌린지 암호가 포함되어 있습니다.
1. 모바일 클라이언트는 인증서를 요청하고 CSR을 SCEP용 커넥터로 전송합니다.
1. SCEP용 커넥터는 권한 부여를 위해 CSR을 Microsoft Intune에 전송합니다.
1. Microsoft Intune은 CSR에서 챌린지 암호를 해독합니다. 유효한 경우 Microsoft Intune은 SCEP용 커넥터에 승인을 전송하여 모바일 클라이언트에 인증서를 발급합니다.
1. SCEP용 커넥터는 모바일 클라이언트를 AWS Private CA 대신하여에서 인증서를 요청합니다.
1. AWS Private CA 는 인증서를 발급하고 SCEP용 커넥터로 전송합니다.
1. SCEP용 커넥터는 발급된 인증서를 모바일 클라이언트로 전송합니다.
**Topics**
+ [범용 커넥터](#connector-for-scep-how-it-works-general-purpose)
+ [AWS Private CA Microsoft Intune용 SCEP용 커넥터](#connector-for-scep-how-it-works-intune)
+ [SCEP용 커넥터용 Jamf Pro 구성](connector-for-scep-general-purpose.md)
+ [SCEP용 커넥터용 Microsoft Intune 구성](connector-for-scep-intune.md)
+ [SCEP용 커넥터용 Omnissa Workspace ONE 구성](connector-for-scep-omnissa.md)
# SCEP용 커넥터용 Jamf Pro 구성
Jamf Pro 모바일 디바이스 관리(MDM) 시스템에서를 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 범용 커넥터를 생성한 후 Jamf Pro를 구성하는 방법에 대한 지침을 제공합니다.
## SCEP용 커넥터용 Jamf Pro 구성
이 가이드에서는 SCEP용 커넥터와 함께 사용하도록 Jamf Pro를 구성하는 방법에 대한 지침을 제공합니다. Jamf Pro 및 SCEP용 커넥터를 성공적으로 구성하면 관리형 디바이스에 인증서를 발급 AWS Private CA 할 수 있습니다.
### Jamf Pro 요구 사항
Jamf Pro 구현은 다음 요구 사항을 충족해야 합니다.
+ Jamf Pro에서 **인증서 기반 인증 활성화** 설정을 활성화해야 합니다. 이 설정에 대한 세부 정보는 Jamf Pro 설명서의 Jamf Pro [보안 설정](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html) 페이지에서 확인할 수 있습니다.
### 1단계: (선택 사항 - 권장) 사설 CA의 지문 가져오기
지문은 다른 시스템 또는 애플리케이션과 신뢰를 구축할 때 CA의 ID를 확인하는 데 사용할 수 있는 프라이빗 CA의 고유 식별자입니다. 인증 기관(CA) 지문을 통합하면 관리형 디바이스가 연결 중인 CA를 인증하고 예상 CA에서만 인증서를 요청할 수 있습니다. Jamf Pro에서 CA 지문을 사용하는 것이 좋습니다.
**프라이빗 CA에 대한 지문을 생성하려면**
1. AWS Private CA 콘솔에서 또는 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html)를 사용하여 프라이빗 CA 인증서를 가져옵니다. `ca.pem` 파일로 저장합니다.
1. [OpenSSL 명령줄 유틸리티](https://wiki.openssl.org/index.php/Command_Line_Utilities)를 설치합니다.
1. OpenSSL에서 다음 명령을 실행하여 지문을 생성합니다.
```
openssl x509 -in ca.pem -sha256 -fingerprint
```
### 2단계: Jamf Pro에서 외부 CA AWS Private CA 로 구성
SCEP용 커넥터를 생성한 후에는 Jamf Pro에서를 외부 인증 기관(CA) AWS Private CA 으로 설정해야 합니다. 를 글로벌 외부 CA AWS Private CA 로 설정할 수 있습니다. 또는 Jamf Pro 구성 프로파일을 사용하여 조직의 디바이스 하위 집합에 인증서 발급과 같은 다양한 사용 사례에 AWS Private CA 대해와 다른 인증서를 발급할 수 있습니다. Jamf Pro 구성 프로파일 구현에 대한 지침은이 문서의 범위를 벗어납니다.
**Jamf Pro에서를 외부 인증 기관(CA) AWS Private CA 으로 구성하려면**
1. Jamf Pro 콘솔에서 설정 > **글로벌** > **PKI 인증서**로 이동하여 **PKI 인증서** **설정** 페이지로 이동합니다.
1. **관리 인증서 템플릿** 탭을 선택합니다.
1. **외부 CA**를 선택합니다.
1. **편집**을 선택합니다.
1. (선택 사항) **구성 프로필에 대해 Jamf Pro를 SCEP 프록시로 활성화를** 선택합니다. Jamf Pro 구성 프로파일을 사용하여 특정 사용 사례에 맞는 다양한 인증서를 발급할 수 있습니다. Jamf Pro에서 구성 프로파일을 사용하는 방법에 대한 지침은 [Jamf Pro 설명서의 구성 프로파일에 대한 SCEP 프록시로 Jamf Pro 활성화를 참조하세요](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2).
1. **컴퓨터 및 모바일 디바이스 등록에 SCEP 지원 외부 CA 사용을** 선택합니다.
1. (선택 사항) **컴퓨터 및 모바일 디바이스 등록을 위해 Jamf Pro를 SCEP 프록시로 사용을** 선택합니다. 프로파일 설치에 실패하는 경우 섹션을 참조하세요[프로파일 설치 실패 문제 해결](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot).
1. 커넥터 세부 정보에서 SCEP용 커넥터 **SCEP URL**을 복사하여 Jamf Pro의 **URL** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져오고 응답에서 `Endpoint` 값을 복사할 수 있습니다.
1. (선택 사항) 이름 필드에 인스턴스의 **이름을** 입력합니다. 예를 들어 이름을 로 지정할 수 있습니다**AWS Private CA**.
1. 챌린지 유형으로 **정적**을 선택합니다.
1. 커넥터에서 챌린지 암호를 복사하여 **챌린지** 필드에 붙여 넣습니다. 커넥터에는 여러 개의 챌린지 암호가 있을 수 있습니다. 커넥터의 챌린지 암호를 보려면 AWS 콘솔에서 커넥터의 세부 정보 페이지로 이동하여 **암호 보기** 버튼을 선택합니다. 또는 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)(GetChallengePassword)를 호출하여 커넥터의 챌린지 암호를 가져오고 응답에서 `Password` 값을 복사할 수 있습니다. 챌린지 암호 사용에 대한 자세한 내용은 섹션을 참조하세요[SCEP 고려 사항 및 제한 사항에 대한 커넥터 이해고려 사항 및 제한 사항](c4scep-considerations-limitations.md).
1. 챌린지 암호를 **챌린지 확인** 필드에 붙여 넣습니다.
1. **키 크기를** 선택합니다. 키 크기는 2048 이상인 것이 좋습니다.
1. (선택 사항) **디지털 서명으로 사용을** 선택합니다. 디바이스에 Wi-Fi 및 VPN과 같은 리소스에 대한 보안 액세스 권한을 부여하려면 인증 목적으로이 옵션을 선택합니다.
1. (선택 사항) **키 암호화에 사용을** 선택합니다.
1. (선택 사항 - 권장) **지문** 필드에 16진수 문자열을 입력합니다. 관리형 디바이스가 CA를 확인하고 CA에서만 인증서를 요청할 수 있도록 CA 지문을 추가하는 것이 좋습니다. 프라이빗 CA에 대한 지문을 생성하는 방법에 대한 지침은 섹션을 참조하세요[1단계: (선택 사항 - 권장) 사설 CA의 지문 가져오기](#connector-for-scep-jamf-pro-ca-fingerprint).
1. **저장**을 선택합니다.
### 3단계: 구성 프로필 서명 인증서 설정
Jamf Pro를 SCEP용 커넥터와 함께 사용하려면 커넥터와 연결된 프라이빗 CA에 대한 서명 및 CA 인증서를 제공해야 합니다. 두 인증서가 모두 포함된 프로필 서명 인증서 키 스토어를 Jamf Pro에 업로드하여이 작업을 수행할 수 있습니다.
다음은 인증서 키 스토어를 생성하여 Jamf Pro에 업로드하는 단계입니다.
+ 내부 프로세스를 사용하여 인증서 서명 요청(CSR)을 생성합니다.
+ 커넥터와 연결된 프라이빗 CA에서 서명한 CSR을 가져옵니다.
+ 프로필 서명 인증서와 CA 인증서를 모두 포함하는 프로필 서명 인증서 키 스토어를 생성합니다.
+ 인증서 키 스토어를 Jamf Pro에 업로드합니다.
다음 단계에 따라 디바이스가 프라이빗 CA에서 서명한 구성 프로파일을 검증하고 인증하여 Jamf Pro에서 SCEP용 커넥터를 사용할 수 있도록 할 수 있습니다.
1. 다음 예제에서는 OpenSSL 및를 사용하지 AWS Certificate Manager만 원하는 방법을 사용하여 인증서 서명 요청을 생성할 수 있습니다.
------
#### [ AWS Certificate Manager console ]
**ACM 콘솔을 사용하여 프로필 서명 인증서를 생성하려면**
1. ACM을 사용하여 [프라이빗 PKI 인증서를 요청합니다](). 다음을 포함합니다.
+ **유형** - MDM 시스템의 SCEP 인증 기관 역할을 하는 것과 동일한 프라이빗 CA 유형을 사용합니다.
+ **인증 기관 세부 정보** 섹션에서 **인증 기관** 메뉴를 선택하고 Jamf Pro의 CA 역할을 하는 프라이빗 CA를 선택합니다.
+ **도메인 이름** - 인증서에 포함할 도메인 이름을 제공합니다. 와 같은 정규화된 도메인 이름(FQDN) `www.example.com`또는와 같은 베어 또는 정점 도메인 이름`example.com`( 제외)을 사용할 수 있습니다`www.`.
1. ACM을 사용하여 이전 단계에서 생성한 [프라이빗 인증서를 내](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)보냅니다. 인증서, 인증서 체인 및 암호화된 키에 대한 **파일 내보내기를** 선택합니다. **암호**는 다음 단계에서 필요하므로 준비해 둡니다.
1. 터미널에서 내보낸 파일이 포함된 폴더에서 다음 명령을 실행하여 이전 단계에서 생성한 암호로 인코딩된 `output.p12` 파일에 PKCS\$112 번들을 씁니다.
```
openssl pkcs12 -export \
-in "Exported Certificate.txt" \
-certfile "Certificate Chain.txt" \
-inkey "Exported Certificate Private Key.txt" \
-name example \
-out output.p12 \
-passin pass:your-passphrase \
-passout pass:your-passphrase
```
------
#### [ AWS Certificate Manager CLI ]
**ACM CLI를 사용하여 프로필 서명 인증서를 생성하려면**
+ 다음 명령은 ACM에서 인증서를 생성한 다음 파일을 PKCS\$112 번들로 내보내는 방법을 보여줍니다.
```
PCA=
CERTIFICATE=$(aws acm request-certificate \
--certificate-authority-arn $PCA \
--domain-name \
| jq -r '.CertificateArn')
while [[ $(aws acm describe-certificate \
--certificate-arn $CERTIFICATE \
| jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
openssl pkcs12 -export \
-in "Certificate.pem" \
-certfile "CertificateChain.pem" \
-inkey "PrivateKey.pem" \
-name example \
-out output.p12 \
-passin pass:passphrase \
-passout pass:passphrase
```
------
#### [ OpenSSL CLI ]
**OpenSSL CLI를 사용하여 프로필 서명 인증서를 생성하려면**
1. OpenSSL을 사용하여 다음 명령을 실행하여 프라이빗 키를 생성합니다.
```
openssl genrsa -out local.key 2048
```
1. 인증서 서명 요청(CSR) 생성:
```
openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
```
1. 를 사용하여 이전 단계에서 생성한 CSR을 사용하여 서명 인증서를 AWS CLI발급합니다. 다음 명령을 실행하고 응답에 인증서 ARN을 기록해 둡니다.
```
aws acm-pca issue-certificate --certificate-authority-arn --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
```
1. 다음 명령을 실행하여 서명 인증서를 가져옵니다. 이전 단계의 인증서 ARN을 지정합니다.
```
aws acm-pca get-certificate --certificate-authority-arn --certificate-arn | jq -r '.Certificate' >local.crt
```
1. 다음 명령을 실행하여 CA 인증서를 가져옵니다.
```
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn | jq -r '.Certificate' > ca.crt
```
1. OpenSSL을 사용하여 서명 인증서 키 스토어를 p12 형식으로 출력합니다. 4단계와 5단계에서 생성한 CRT 파일을 사용합니다.
```
openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
```
1. 메시지가 표시되면 내보내기 암호를 입력합니다. 이 암호는 Jamf Pro에 제공할 키 스토어 암호입니다.
------
1. Jamf Pro에서 **관리 인증서 템플릿**으로 이동하여 **외부 CA** 창으로 이동합니다.
1. **외부 CA** 창 하단에서 **서명 및 CA 인증서 변경을** 선택합니다.
1. 화면의 지침에 따라 외부 CA에 대한 서명 및 CA 인증서를 업로드합니다.
### 4단계: (선택 사항) 사용자 시작 등록 중 인증서 설치
클라이언트 디바이스와 프라이빗 CA 간에 신뢰를 설정하려면 디바이스가 Jamf Pro에서 발급한 인증서를 신뢰하는지 확인해야 합니다. 등록 프로세스 중에 인증서를 요청할 때 Jamf Pro의 [사용자 시작 등록 설정을](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.) 사용하여 클라이언트 디바이스에 AWS Private CA의 CA 인증서를 자동으로 설치할 수 있습니다.
### 프로파일 설치 실패 문제 해결
**컴퓨터 및 모바일 디바이스 등록을 위한 SCEP 프록시로 Jamf Pro 사용을** 활성화한 후 프로파일 설치에 실패하는 경우 디바이스 로그를 참조하고 다음을 시도하세요.
| 디바이스 로그 오류 메시지 | 완화 |
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 등록을 시도하는 동안이 오류 메시지가 표시되면 등록을 다시 시도하세요. 등록에 성공하려면 몇 번의 시도가 필요할 수 있습니다. |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 챌린지 암호가 잘못 구성되었을 수 있습니다. Jamf Pro의 챌린지 암호가 커넥터의 챌린지 암호와 일치하는지 확인합니다. |
# SCEP용 커넥터용 Microsoft Intune 구성
Microsoft Intune 모바일 디바이스 관리(MDM) 시스템에서를 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 SCEP for Microsoft Intune용 커넥터를 생성한 후 Microsoft Intune을 구성하는 방법에 대한 지침을 제공합니다.
## 사전 조건
Microsoft Intune용 SCEP용 커넥터를 생성하기 전에 다음 사전 조건을 완료해야 합니다.
+ Entra ID를 생성합니다.
+ Microsoft Intune 테넌트를 생성합니다.
+ Microsoft Entra ID에서 앱 등록을 생성합니다. [앱 등록에 대한 애플리케이션 수준 권한을 관리하는 방법에 대한 자세한 내용은 Microsoft Entra 설명서의 Microsoft Entra ID에서 앱의 요청된 권한 업데이트를](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) 참조하세요. 앱 등록에는 다음 권한이 있어야 합니다.
+ **Intune**에서 **scep\$1challenge\$1provider**를 설정합니다.
+ **Microsoft Graph**의 경우 **Application.Read.All** 및 **User.Read**를 설정합니다.
+ 앱 등록 관리자 동의에서 애플리케이션을 부여해야 합니다. 자세한 내용은 Microsoft Entra 설명서의 [애플리케이션에 테넌트 전체 관리자 동의 부여](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)를 참조하세요.
**작은 정보**
앱 등록을 생성할 때 **애플리케이션(클라이언트) ID**와 **디렉터리(테넌트) ID 또는 기본 도메인을** 기록해 둡니다. Microsoft Intune용 SCEP용 커넥터를 생성할 때 이러한 값을 입력합니다. 이러한 값을 가져오는 방법에 대한 자세한 내용은 [Microsoft Entra 설명서의 리소스에 액세스할 수 있는 Microsoft Entra 애플리케이션 및 서비스 보안 주체 생성을](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) 참조하세요.
## 1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여
SCEP for Microsoft Intune용 커넥터를 생성한 후에는 SCEP용 커넥터가 Microsoft Intune과 통신할 수 있도록 Microsoft 앱 등록에 따라 페더레이션 자격 증명을 생성해야 합니다.
**Microsoft Intune에서 외부 CA AWS Private CA 로를 구성하려면**
1. Microsoft Entra ID 콘솔에서 **앱 등록**으로 이동합니다.
1. SCEP용 커넥터와 함께 사용하도록 생성한 애플리케이션을 선택합니다. 클릭하는 애플리케이션의 애플리케이션(클라이언트) ID는 커넥터를 생성할 때 지정한 ID와 일치해야 합니다.
1. **관리**형 드롭다운 메뉴에서 **인증서 및 보안 암호를** 선택합니다.
1. **페더레이션 자격 증명** 탭을 선택합니다.
1. **자격 증명 추가를** 선택합니다.
1. **페더레이션 자격 증명 시나리오** 드롭다운 메뉴에서 **기타 발급자를** 선택합니다.
1. SCEP for Microsoft Intune용 커넥터 세부 정보에서 **OpenID 발급**자 값을 복사하여 **발급자** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 AWS 콘솔의 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Issuer` 값을 복사할 수 있습니다.
1. **유형**에서 **명시적 주체 식별자**를 선택합니다.
1. 커넥터에서 **OpenID 제목** 값을 복사하여 **값** 필드에 붙여 넣습니다. AWS 콘솔의 커넥터 세부 정보 페이지에서 OpenID 발급자 값을 볼 수 있습니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Audience` 값을 복사할 수 있습니다.
1. (선택 사항) 이름 필드에 인스턴스의 **이름을** 입력합니다. 예를 들어 이름을 로 지정할 수 있습니다**AWS Private CA**.
1. (선택 사항) 설명 필드에 **설명을** 입력합니다.
1. SCEP for Microsoft Intune용 커넥터 세부 정보에서 **OpenID 대상** 값을 복사하여 **대상** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 AWS 콘솔의 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)를 호출하여 URL을 가져온 다음 응답에서 `Subject` 값을 복사할 수 있습니다.
1. **추가**를 선택합니다.
## 2단계: Microsoft Intune 구성 프로필 설정
Microsoft Intune AWS Private CA 을 호출할 수 있는 권한을 부여한 후에는 Microsoft Intune을 사용하여 디바이스가 인증서 발급을 위해 SCEP용 커넥터에 연결하도록 지시하는 Microsoft Intune 구성 프로파일을 생성해야 합니다.
1. 신뢰할 수 있는 인증서 구성 프로필을 생성합니다. 신뢰를 구축하려면 SCEP용 커넥터와 함께 사용 중인 체인의 루트 CA 인증서를 Microsoft Intune에 업로드해야 합니다. 신뢰할 수 있는 인증서 구성 프로필을 생성하는 방법에 대한 자세한 내용은 [Microsoft Intune 설명서의 Microsoft Intune에 대한 신뢰할 수 있는 루트 인증서 프로필을](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) 참조하세요.
1. 새 인증서가 필요할 때 디바이스가 커넥터를 가리키도록 SCEP 인증서 구성 프로파일을 생성합니다. 구성 프로필의 **프로필 유형은** **SCEP 인증서**여야 합니다. 구성 프로필의 루트 인증서의 경우 이전 단계에서 생성한 신뢰할 수 있는 인증서를 사용해야 합니다.
**SCEP 서버 URLs** 경우 커넥터 세부 정보에서 **SCEP URL**을 복사하여 **SCEP 서버 URLs** 필드에 붙여 넣습니다. 커넥터의 세부 정보를 보려면 [SCEP용 커넥터](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 목록에서 커넥터를 선택합니다. 또는 [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html)를 호출하여 URL을 가져온 다음 응답에서 `Endpoint` 값을 복사할 수 있습니다. Microsoft Intune에서 구성 프로파일을 생성하는 방법에 대한 지침은 Microsoft Intune 설명서의 Microsoft [Intune에서 SCEP 인증서 프로파일 생성 및 할당](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)을 참조하세요.
**참고**
비 Mac OS 및 iOS 디바이스의 경우 구성 프로필에서 유효 기간을 설정하지 않으면 SCEP용 커넥터는 유효 기간이 1년인 인증서를 발급합니다. 구성 프로필에서 확장 키 사용(EKU) 값을 설정하지 않으면 SCEP용 커넥터는 로 설정된 EKU로 인증서를 발급합니다`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`. macOS 또는 iOS 디바이스의 경우 Microsoft Intune은 구성 프로필의 `ExtendedKeyUsage` 또는 `Validity` 파라미터를 준수하지 않습니다. 이러한 디바이스의 경우 SCEP용 커넥터는 클라이언트 인증을 통해 이러한 디바이스에 1년 유효 기간이 있는 인증서를 발급합니다.
## 3단계: SCEP용 커넥터에 대한 연결 확인
SCEP용 커넥터 엔드포인트를 가리키는 Microsoft Intune 구성 프로파일을 생성한 후 등록된 디바이스가 인증서를 요청할 수 있는지 확인합니다. 확인하려면 정책 할당 실패가 없는지 확인합니다. 확인하려면 Intune 포털에서 **디바이스** > **디바이스 관리** > **구성**으로 이동하여 **구성 정책 할당 실패** 아래에 나열된 항목이 없는지 확인합니다. 있는 경우 이전 절차의 정보로 설정을 확인합니다. 설정이 올바르고 여전히 장애가 있는 경우 [모바일 디바이스에서 사용 가능한 데이터 수집](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)을 참조하세요.
디바이스 등록에 대한 자세한 내용은 Microsoft Intune 설명서의 [디바이스 등록이란 무엇입니까?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)를 참조하세요.
# SCEP용 커넥터용 Omnissa Workspace ONE 구성
를 Omnissa Workspace ONE UEM(통합 엔드포인트 관리) 시스템에서 외부 인증 기관(CA) AWS Private CA 으로 사용할 수 있습니다. 이 가이드에서는 SCEP 커넥터를 생성한 후 Omnissa Workspace ONE을 구성하는 방법에 대한 지침을 제공합니다 AWS.
## 사전 조건
Omnissa Workspace ONE용 SCEP 커넥터를 생성하기 전에 다음 사전 조건을 완료해야 합니다.
+ AWS 콘솔에서 프라이빗 CA를 생성합니다. 자세한 내용은 [에서 프라이빗 CA 생성 AWS Private CA](create-CA.md) 단원을 참조하십시오.
+ 범용 SCEP 커넥터를 생성합니다. 자세한 내용은 [커넥터 생성을 참조하세요](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ 조직 그룹 ID가 있는 활성 Omnissa Workspace ONE 환경 관리자 계정이 있어야 합니다.
+ Apple 디바이스를 등록하는 경우 MDM용 Apple 푸시 알림 서비스(APNs)를 구성합니다. 자세한 내용은 Omnissa 설명서의 [APNs 인증서를](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) 참조하세요.
## 1단계: Omnissa Workspace ONE에서 인증 기관 및 템플릿 정의
AWS 콘솔에서 프라이빗 CA 및 SCEP 커넥터를 생성한 후 Omnissa Workspace ONE에서 인증 기관 및 템플릿을 정의합니다.
**인증 기관 AWS Private CA 으로 추가**
1. **시스템** 메뉴에서 **엔터프라이즈 통합**을 선택한 다음 **인증 기관**을 선택합니다.
1. **\$1 ADD**를 선택하고 다음 정보를 제공합니다.
+ **이름**: AWS-Private-CA.
+ **설명**: 디바이스 인증서 발급에 AWS Private CA 대한 설명입니다.
+ **권한 유형**: **일반 SCEP**를 선택합니다.
+ **SCEP URL**: SCEP URL을 입력합니다 AWS Private CA.
+ **챌린지 유형**: **정적**을 선택합니다.
+ **정적 챌린지**: AWS 콘솔의 SCEP용 커넥터 구성에서 SCEP 정적 챌린지 암호를 입력합니다.
+ **재시도 제한 시간** 및 **최대 재시도** 횟수 값을 입력합니다.
1. 구성을 저장합니다.
**인증서 템플릿 생성**
1. **시스템** 메뉴에서 **엔터프라이즈 통합**을 선택하고 **인증 기관**을 선택한 다음 **템플릿을** 선택합니다.
1. **템플릿 추가를** 선택하고 다음 정보를 제공합니다.
+ **템플릿 이름**: Device-Cert-Template.
+ **인증 기관**: **AWS-Private-CA**를 선택합니다.
+ **제목 이름**: 사용자 지정 가능한 필드입니다. 속성 목록에서 변수 값을 선택할 수 있습니다. 예: CN=\$1DeviceReportedName\$1, O=\$1DevicePlatform\$1, OU=\$1CustomAttribute1\$1
+ **프라이빗 키 길이**: 2048비트.
+ **프라이빗 키 유형**: 필요에 따라 **서명** 및 **암호화를** 선택합니다.
+ **자동 갱신**: 활성화됨/비활성화됨(필요에 따라 다름).
1. 템플릿의 이름을 (으)로 지정합니다.
## 2단계: Omnissa Workspace ONE UEM 프로파일 구성 설정
디바이스를 SCEP용 커넥터로 전달하여 인증서를 발급하도록 Omnissa Workspace ONE UEM에서 프로파일을 생성합니다.
**인증서 배포를 위한 SCEP 디바이스 프로파일 생성**
1. **리소스** 메뉴에서 **프로필 및 기준을** 선택한 다음 **프로필을** 선택합니다.
1. **추가**를 선택한 다음 **프로필 추가**를 선택합니다.
1. 디바이스 플랫폼(**Android**, **iOS**, **macOS**, **Windows**)을 선택합니다.
1. **관리 유형**과 **컨텍스트**를 적절하게 설정합니다.
1. **이름**: Device-Cert-Profile을 설정합니다.
1. **SCEP 페이로드**로 스크롤합니다.
1. **SCEP**를 선택한 다음 **\$1추가**를 선택합니다.
1. 다음 구성을 사용합니다.
+ **SCEP**:
+ **자격 증명 소스**에서 **정의된 인증 기관**(기본값)을 선택합니다.
+ **인증 기관에서** **AWS-Private-CA**를 선택합니다.
+ **인증서 템플릿**에서 1단계에 정의된 **Device-Cert-Template**을 선택합니다.
1. **다음을** 선택하고 **할당** 섹션의 목록에서 적절한 스마트 그룹(디바이스의 할당 그룹)을 선택합니다.
1. **할당 유형을** **자동**으로 선택하여 자동 갱신을 활성화합니다.
1. 프로필을 저장하고 게시합니다.
**참고**
자세한 내용은 Omnissa 설명서의 [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)를 참조하세요.
## 3단계: Omnissa Workspace ONE에 디바이스 등록
**스마트 그룹 생성 또는 확인**
1. **그룹 및 설정**에서 **그룹을** 선택한 다음 **할당 그룹을** 선택합니다.
1. POC-Devices 스마트 그룹을 생성하거나 편집합니다.
+ **이름**: POC-Devices.
+ **디바이스 유형**: **모두** 또는 특정 플랫폼(예: Android 또는 iOS)을 선택합니다.
+ **기준**: **UserGroup**, **플랫폼 및 OS**, **OEM 및 모델을** 사용하여 대상 디바이스를 그룹화하는 기준을 지정합니다.
+ **소유권**: 개인 또는 회사 디바이스의 경우 **모두를** 선택합니다.
1. 대상 디바이스를 저장하고 **미리 보기** 탭에 나타나는지 확인합니다.
### 수동 디바이스 등록
Android
+ Google Play에서 **Workspace ONE Intelligent Hub** 앱을 다운로드합니다.
+ 앱을 열고 등록 URL을 입력하거나 QR 코드를 스캔합니다.
+ 로그인하고 프롬프트에 따라 MDM 관리형 디바이스로 등록합니다.
iOS/macOS
+ 디바이스에서 **Safari**를 열고 등록 URL(예: https:///enroll)로 이동합니다.
+ 사용자 자격 증명으로 로그인합니다.
+ App Store에서 **Workspace ONE Intelligent Hub** 앱을 다운로드하여 설치합니다.
+ 프롬프트에 따라 **설정** > **일반** > **VPN 및 디바이스 관리** > 프로필 > 설치에서 MDM **프로필을** **설치합니다**.
Windows
+ **Workspace ONE 서버 또는 Microsoft Store에서 Workspace ONE Intelligent Hub**를 다운로드합니다.
+ 등록 URL 및 자격 증명을 사용하여 Hub를 통해 등록합니다.
디바이스 > **목록 보기** > **추가 작업** > 스마트 그룹에 할당에서 등록된 **디바이스**를 POC-디바이스 **스마트 그룹에 할당**합니다.
자세한 내용은 Omnissa 설명서의 [자동 디바이스 등록](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)을 참조하세요.
**등록 확인**
1. Omnissa Workspace ONE UEM 콘솔에서 **디바이스**로 이동한 다음 **목록 보기**로 이동합니다.
1. 등록된 디바이스가 등록됨 상태로 표시되는지 확인합니다****.
1. 디바이스 **세부 정보의** 그룹 탭에서 디바이스가 POC-Devices 스마트 **그룹에** 있는지 확인합니다.
## 4단계: 인증서 발급
**인증서 발급 트리거**
1. **디바이스** **목록 보기**에서 등록된 디바이스를 선택합니다.
1. **쿼리** 버튼에서를 선택하여 체크인 메시지를 표시합니다.
1. Device-Cert-Profile은를 통해 인증서를 발급해야 합니다 AWS Private CA.
**인증서 설치 확인**
Android
**설정을** 선택한 다음 **보안을** 선택하고 **신뢰할 수 있는 자격 증명을** 선택한 다음 **사용자를** 선택하여 인증서를 확인합니다.
iOS
**설정**으로 이동한 다음 **일반**, **VPN 및 디바이스 관리**, **구성 프로필을** 차례로 선택합니다. AWS-Private-CA의 인증서가 있는지 확인합니다.
macOS
**키체인 액세스를** 연 다음 **시스템 키체인**을 열고 인증서를 확인합니다.
Windows
**certmgr.msc**, **Personal**, **Certificates**를 차례로 열어 인증서를 확인합니다.
## 문제 해결
SCEP 오류(예: "22013 - SCEP 서버가 잘못된 응답을 반환함")
+ Workspace ONE에서 SCEP URL과 정적 챌린지 암호가 일치하는지 확인합니다 AWS Private CA.
+ SCEP 엔드포인트 연결 테스트: curl .
+ AWS CloudTrail 로그에 AWS Private CA 오류(`IssueCertificate`예: 실패)가 있는지 확인합니다.
APNs(iOS/macOS)
+ APNs가 유효하고 올바른 조직 그룹에 할당되었는지 확인합니다.
+ APNs 연결 테스트: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.
프로파일 설치 실패
+ 디바이스가 올바른 스마트 그룹(**디바이스**, **목록 보기**, **그룹**)에 있는지 확인합니다.
+ 프로파일 동기화 강제 적용: **추가 작업**, **전송**, **프로파일 목록**.
로그
+ Android: **Logcat** 또는 Workspace ONE 로그를 사용합니다.
+ iOS/macOS: 로그 표시 --predicate 'process == 'mdmclient'' --last 1h(Xcode/Apple Configurator 사용).
+ Windows: **이벤트 뷰어**, **애플리케이션 및 서비스 로그**, **Microsoft-Windows-DeviceManagement**.
+ Workspace ONE UEM: **모니터링**, **보고서 및 분석**, **이벤트**, **디바이스 이벤트**.
의 SCEP 모니터링용 커넥터에 대한 자세한 내용은 [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html) AWS참조하세요.
## 보안 고려 사항
+ SCEP URLs과 보안 암호를 안전하게 저장합니다. 자세한 내용은 [AWS Secrets Manager 서비스를](https://docs.aws.amazon.com/secretsmanager/) 참조하세요.
+ 스마트 그룹 기준을 대상 디바이스로만 제한합니다.
+ Apple 푸시 알림(APNs) 인증서를 정기적으로 갱신합니다(1년간 유효).
+ 개념 증명 프로젝트의 짧은 인증서 유효 기간을 설정하여 위험을 최소화합니다.
+ 개인용 디바이스의 경우 정리에서 모든 프로필과 인증서를 제거해야 합니다.
SCEP 커넥터를 사용하여 Omnissa Workspace ONE UEM 및 CA 통합을 구성하는 방법에 대한 자세한 내용은 [Omnissa Workspace ONE의 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.) 설명서를 참조하세요.
# SCEP용 커넥터의 보안
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이를 클라우드*의* 보안과 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는 클라우드에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다 AWS .
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 데이터의 민감도, 회사 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
이 설명서는 SCEP용 커넥터를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 주제에서는 보안 및 규정 준수 목표에 맞게 SCEP용 커넥터를 구성하는 방법을 보여줍니다.
**Topics**
+ [SCEP VPC 엔드포인트용 커넥터(AWS PrivateLink)](c4scep-vpc-endpoints.md)
# SCEP VPC 엔드포인트용 커넥터(AWS PrivateLink)
인터페이스 VPC 엔드포인트를 구성하여 VPC와 SCEP용 커넥터 간에 프라이빗 연결을 생성할 수 있습니다. 인터페이스 엔드포인트는 SCEP API 작업용 커넥터에 비공개[AWS PrivateLink](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)로 액세스하는 기술로 구동됩니다.는 Amazon 네트워크를 통해 VPC와 SCEP용 커넥터 간의 모든 네트워크 트래픽을 AWS PrivateLink 라우팅하여 개방형 인터넷에 노출되지 않도록 합니다. 각 VPC 엔드포인트는 하나 이상의 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) 및 VPC 서브넷의 프라이빗 IP 주소로 표현됩니다.
인터페이스 VPC 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN Direct Connect 연결 또는 연결 없이 VPC를 SCEP용 커넥터에 직접 연결합니다. VPC의 인스턴스는 SCEP용 커넥터 API와 통신하는 데 퍼블릭 IP 주소가 필요하지 않습니다.
VPC를 통해 SCEP용 커넥터를 사용하려면 VPC 내에 있는 인스턴스에서 연결해야 합니다. 또는 AWS Virtual Private Network (Site-to-Site VPN) 또는를 사용하여 프라이빗 네트워크를 VPC에 연결할 수 있습니다 Direct Connect. 에 대한 자세한 내용은 *Amazon VPC 사용 설명서*의 VPN 연결을 Site-to-Site VPN참조하세요. [https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) Direct Connect에 대한 자세한 내용은 *Direct Connect 사용 설명서*의 [연결 생성](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection)을 참조하세요.
SCEP용 커넥터는를 사용할 필요가 AWS PrivateLink없지만 추가 보안 계층으로 사용하는 것이 좋습니다. AWS PrivateLink 및 VPC 엔드포인트에 대한 자세한 내용은를 [통한 서비스 액세스를 참조하세요 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/privatelink-access-aws-services.html).
## SCEP VPC 엔드포인트용 커넥터에 대한 고려 사항
SCEP용 커넥터에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 다음 고려 사항에 유의하세요.
+ SCEP용 커넥터는 일부 가용 영역에서 VPC 엔드포인트를 지원하지 않을 수 있습니다. VPC 엔드포인트를 생성할 때는 먼저 관리 콘솔에서 지원을 확인하세요. 지원되지 않는 가용 영역은 “이 가용 영역에서 서비스가 지원되지 않음”으로 표시됩니다.
+ VPC 엔드포인트는 교차 리전 요청을 지원하지 않습니다. 커넥터를 생성하는 리전과 동일한 리전에서 엔드포인트를 생성해야 합니다.
+ VPC 엔드포인트는 Amazon Route 53을 통해 Amazon이 제공하는 DNS만 지원합니다. 자신의 DNS를 사용하는 경우에는 조건적인 DNS 전송을 사용할 수 있습니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [DHCP 옵션 세트](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)를 참조하세요.
+ VPC 엔드포인트에 연결된 보안 그룹은 VPC의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다.
## SCEP용 커넥터에 대한 VPC 엔드포인트 생성
[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 또는에서 VPC 콘솔을 사용하여 SCEP용 커넥터 서비스에 대한 VPC 엔드포인트를 생성할 수 있습니다 AWS Command Line Interface. 자세한 내용은 *Amazon VPC 사용 설명서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) 절차를 참조하세요. SCEP용 커넥터는 VPC 내의 모든 API 작업에 대한 호출을 지원합니다.
엔드포인트를 생성할 때 `com.amazonaws.region.pca-connector-scep`를 서비스 이름으로 지정합니다.
엔드포인트에 대해 프라이빗 DNS 호스트 이름을 활성화한 경우 이제 SCEP 엔드포인트용 기본 커넥터가 VPC 엔드포인트로 확인됩니다. 기본 서비스 엔드포인트의 전체 목록은 [서비스 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)을 참조하십시오.
프라이빗 DNS 호스트 이름을 활성화하지 않은 경우, Amazon VPC는 다음 형식으로 사용할 수 있는 DNS 엔드포인트를 제공합니다.
```
vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com
```
자세한 내용은 *Amazon* [VPC 사용 설명서의 VPC 엔드포인트(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)를 참조하세요.
## SCEP용 커넥터에 대한 VPC 엔드포인트 정책 생성
SCEP용 커넥터에 대한 Amazon VPC 엔드포인트 정책을 생성하여 다음을 지정할 수 있습니다.
+ 작업을 수행할 수 있는 보안 주체.
+ 수행할 수 있는 작업
+ 작업을 수행할 수 있는 리소스
자세한 내용은 *Amazon* [VPC 가이드의 VPC 엔드포인트를 사용하여 서비스에 대한 액세스 제어를 참조하세요](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
**예 - SCEP 작업용 커넥터에 대한 VPC 엔드포인트 정책**
엔드포인트에 연결되면 다음 정책은 모든 보안 주체에 대해 지정된 커넥터 리소스의 나열된 SCEP 작업용 커넥터에 대한 액세스 권한을 부여합니다.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"pca-connector-scep:GetConnector",
"pca-connector-scep:ListConnectors"
],
"Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
}
]
}
```
## SCEP 등록 작업용 커넥터에 대한 VPC 엔드포인트 생성
SCEP용 커넥터는 `GetCACaps` 및와 같은 등록 작업을 위한 별도의 VPC 엔드포인트 서비스를 제공합니다`PKIOperation`.
등록 엔드포인트를 생성할 때 `com.amazonaws.region.pca-connector-scep.enroll`를 서비스 이름으로 지정합니다.
커넥터를 생성할 때 선택적으로를 지정`VpcEndpointId`하여 특정 VPC 엔드포인트를 통해서만 커넥터에 액세스할 수 있도록 제한할 수 있습니다.
프라이빗 DNS 호스트 이름을 활성화하지 않은 경우, Amazon VPC는 다음 형식으로 사용할 수 있는 DNS 엔드포인트를 제공합니다.
```
vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
```
**참고**
커넥터에 연결하려면 VPC 엔드포인트 DNS 이름이 아닌 커넥터 세부 정보에 포함된 엔드포인트 URL을 사용해야 합니다. 그러나 커넥터 엔드포인트 URL의 DNS 이름 부분을 AZ별 DNS 이름과 같은 유효한 VPC 엔드포인트 DNS 이름으로 바꿀 수 있습니다.
예를 들어 AZ 특정 DNS 이름을 사용하려면
```
https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
```
with
```
https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
```
**예 - SCEP 등록 작업용 커넥터에 대한 VPC 엔드포인트 정책**
VPC 엔드포인트 정책을 연결하여 등록 작업에 대한 액세스를 제어할 수 있습니다. 엔드포인트에 연결되면 다음 정책은 모든 보안 주체에게 `GetCACaps` 및 `PKIOperation` 작업에 대한 액세스 권한을 부여합니다. 스탠자의 리소스는 커넥터입니다.
SCEP 등록 작업용 커넥터는 SigV4로 인증되지 않습니다. 따라서 IAM 보안 주체와 연결되지 않고 VPC 엔드포인트 정책에서 익명으로 간주됩니다. 따라서 VPC 엔드포인트 정책은 이러한 작업에 대한 모든 보안 주체를 허용해야 합니다.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"pca-connector-scep:GetCACaps",
"pca-connector-scep:GetCACert",
"pca-connector-scep:PKIOperation"
],
"Resource": [
arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
]
}
]
}
```
# SCEP용 모니터 커넥터
모니터링은 SCEP용 커넥터 및 기타 AWS 솔루션의 안정성, 가용성 및 성능을 유지하는 데 중요한 부분입니다.는 SCEP용 커넥터를 모니터링하고, 이상이 있을 때 보고하고, 필요한 경우 자동 조치를 취할 수 있도록 다음 모니터링 도구를 AWS 제공합니다.
+ *AWS CloudTrail*은 직접 수행하거나 AWS 계정 을 대신하여 수행한 API 직접 호출 및 관련 이벤트를 캡처하고 지정한 Amazon S3 버킷에 로그 파일을 전송합니다. AWS APIs라고 하는 사용자 및 계정, 호출이 수행된 소스 IP 주소, 호출이 발생한 시기를 식별할 수 있습니다.
CloudTrail 데이터 이벤트를 모니터링하는 경우 로그에는 클라이언트 디바이스의 모든 최근 요청 목록이 포함됩니다. 데이터 이벤트는 IP 주소, 수행된 작업 유형, 작업이 `failed` 상태를 초래하는 경우 오류 코드 및 세부 메시지와 같은 클라이언트 디바이스 정보를 식별하는 것과 함께 제공됩니다. 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하십시오.
+ *EventBridge*: 애플리케이션을 다양한 소스의 데이터와 쉽게 연결할 수 있는 서버리스 이벤트 버스 서비스입니다. EventBridge는 자체 애플리케이션, Software-as-a-Service(SaaS) 애플리케이션 및 AWS 서비스의 실시간 데이터 스트림을 제공하고 해당 데이터를 Lambda 및 CloudWatch Logs와 같은 대상으로 라우팅합니다. 이를 통해 서비스에서 발생하는 이벤트를 모니터링하고 이벤트 기반 아키텍처를 구축할 수 있습니다. 자세한 내용은 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/)를 참조하세요.
**Topics**
+ [EventBridge를 사용하여 SCEP용 커넥터 자동화](c4scep-monitor-eventbridge-events.md)
+ [를 사용한 SCEP API 호출용 로그 커넥터 AWS CloudTrail](logging-using-cloudtrail-c4scep.md)
# EventBridge를 사용하여 SCEP용 커넥터 자동화
[Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cwe-now-eb.html)를 사용하여 AWS 서비스를 자동화하고 애플리케이션 가용성 문제 또는 리소스 변경과 같은 시스템 이벤트에 자동으로 대응할 수 있습니다. AWS 서비스의 이벤트는 거의 실시간으로 EventBridge로 전송됩니다. 관심이 있는 이벤트와 이벤트 발생 시 실행할 자동 작업을 표시하도록 간단한 규칙을 작성할 수 있습니다. EventBridge는 한 번 이상 게시됩니다. 자세한 내용은 [ EventBridge에서 이벤트에 반응하는 규칙 생성을 참조하세요](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html).
CloudWatch Events는 EventBridge를 사용하여 작업으로 전환됩니다. EventBridge를 사용하면 이벤트를 사용하여 대상을 트리거할 수 있습니다. 자세한 내용은 [Amazon EventBridge란 무엇입니까?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)를 참조하세요.
## SCEP 이벤트 유형용 커넥터
### 인증서 발급 성공
SCEP용 커넥터는 `PkiOperationPost` 요청에 대한 응답으로 인증서를 발급할 때 EventBridge에 `Certificate Issuance Succeeded` 이벤트를 전송합니다.
다음은 이벤트에 대한 예제 데이터입니다.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Issuance Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "PkiOperationPost",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
### 인증서 발급 실패
`PkiOperationPost` 요청에 대한 응답으로 인증서를 발급할 수 없는 경우 SCEP용 커넥터는 EventBridge에 `Certificate Issuance Failed` 이벤트를 전송합니다.
다음은 이벤트에 대한 예제 데이터입니다.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Issuance Failed",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "failure",
"requestType": "PkiOperationPost",
"reason": "The certificate authority is not active."
}
}
```
### 인증 기관 인증서 검색 성공
SCEP용 커넥터는 `GetCACert` 요청을 수신하고 커넥터의 프라이빗 CA 인증서를 성공적으로 검색할 때 EventBridge로 `Certificate Authority Certificate Retrieval Succeeded` 이벤트를 전송합니다.
다음은 이벤트에 대한 예제 데이터입니다.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "GetCACert"
}
}
```
### 인증 기관 인증서 검색 실패
SCEP용 커넥터는 `GetCACert` 요청을 수신하고 커넥터의 프라이빗 CA 인증서를 검색할 수 없는 경우 EventBridge로 `Certificate Authority Certificate Retrieval Failed` 이벤트를 전송합니다. 이벤트에는 실패 이유가 포함됩니다.
다음은 이벤트에 대한 예제 데이터입니다.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Failed",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "failure",
"requestType": "GetCACert",
"reason": "The certificate authority certificate validity must be at least one year from today."
}
}
```
### 인증 기관 인증서 검색 성공
SCEP용 커넥터는 `GetCACert` 요청을 수신하고 커넥터의 프라이빗 CA 인증서를 성공적으로 검색할 때 EventBridge로 `Certificate Authority Certificate Retrieval Succeeded` 이벤트를 전송합니다.
다음은 이벤트에 대한 예제 데이터입니다.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "GetCACert"
}
}
```
### 인증 기관 기능 검색 성공
SCEP용 커넥터는 SCEP `GetCACaps` 요청을 수신하고 CA의 기능을 성공적으로 검색할 때 EventBridge로 `Certificate Authority Capabilities Retrieval Succeeded` 이벤트를 전송합니다.
다음은 이벤트에 대한 예제 데이터입니다.
```
```
### 인증 기관 기능 검색 실패
SCEP용 커넥터는 SCEP `GetCACaps` 요청을 수신하고 CA의 기능을 검색할 수 없을 때 EventBridge로 `Certificate Authority Capabilities Retrieval Failed` 이벤트를 전송합니다. 이벤트에 실패 이유를 포함합니다.
다음은 이벤트에 대한 예제 데이터입니다.
```
{
"resources":
[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector11223344-1234-1122-2233-112233445566"
],
"detailType":"Certificate Authority Capabilities Retrieval Failed",
"detail": {
"result":"failure",
"requestType":"GetCACaps",
"reason":"The request was denied due to request throttling."
},
"source":"aws.pca-connector-scep","accountId":"111122223333"
}
```
### 지원되지 않는 작업이 호출됨
**지원되지 않는 작업이 호출됨**
커넥터 엔드포인트로 전송된 작업이 지원되지 않거나 알 수 없는 경우 SCEP용 커넥터는 EventBridge로 `Unsupported Operation Invoked` 이벤트를 전송합니다.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Unsupported Operation Invoked",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {}
}
```
## EventBridge 규칙 생성
EventBridge에서는 CloudTrail에서 기록한 이벤트에 응답하는 규칙을 생성할 수 있습니다. SCEP용 커넥터에서 로깅한 모든 이벤트를 포함하는 규칙을 생성하려면 소스를 로 설정합니다`aws.pca-connector-scep`. 규칙에 대한 자세한 내용은 [Amazon EventBridge에서 규칙 생성을 참조하세요](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule).
# 를 사용한 SCEP API 호출용 로그 커넥터 AWS CloudTrail
SCEP(Simple Certificate Enrollment Protocol)용 커넥터는 사용자 AWS CloudTrail, 역할, 클라이언트 또는 서비스가 수행한 작업에 대한 레코드를 제공하는 AWS 서비스와 통합됩니다. CloudTrail은 SCEP용 커넥터에 대한 모든 API 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 SCEP용 커넥터 콘솔의 호출과 SCEP용 커넥터 API 작업에 대한 코드 호출이 포함됩니다. 추적을 생성하면 SCEP용 커넥터 이벤트를 포함한 CloudTrail 이벤트를 지속적으로 Amazon S3 버킷에 배포할 수 있습니다. 추적을 구성하지 않은 경우에도 **이벤트 기록**에서 CloudTrail 콘솔의 최신 이벤트를 볼 수 있습니다. CloudTrail에서 수집한 정보를 사용하여 SCEP용 커넥터에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)를 참조하세요.
## CloudTrail의 SCEP 정보용 커넥터
CloudTrail은 계정을 생성할 AWS 계정 때에서 활성화됩니다. SCEP용 커넥터에서 활동이 발생하면 해당 활동이 **이벤트 기록**의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. 에서 최근 이벤트를 보고 검색하고 다운로드할 수 있습니다 AWS 계정. 자세한 내용은 [CloudTrail 이벤트 기록을 사용하여 이벤트 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)를 참조하세요.
SCEP용 커넥터 이벤트를 AWS 계정포함하여에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail은 *추적*을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 트레일을 생성하면 기본적으로 모든 AWS 리전에 트레일이 적용됩니다. 추적은 AWS 파티션의 모든 리전에서 이벤트를 로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 내용은 다음 자료를 참조하세요.
+ [추적 생성 개요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 지원 서비스 및 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [CloudTrail에 대한 Amazon SNS 알림 구성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [여러 리전에서 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 및 [여러 계정에서 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
모든 SCEP용 커넥터 작업은 CloudTrail에서 로깅되며 [SCEP용 커넥터 API 참조](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/Welcome.html)에 문서화됩니다. 예를 들어 `CreateConnector`, `GetConnector`, `CreateChallenge` 작업을 직접 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.
모든 이벤트 또는 로그 항목에는 요청을 생성했던 사용자에 관한 정보가 포함됩니다. ID 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.
+ 요청이 루트 또는 AWS Identity and Access Management (IAM) 사용자 자격 증명으로 이루어졌는지 여부입니다.
+ 역할 또는 페더레이션 사용자의 임시 자격 증명을 사용하여 요청이 생성되었는지 여부.
+ 요청이 다른 AWS 서비스에서 이루어졌는지 여부입니다.
+ SCEP 클라이언트 디바이스에서 요청했는지 여부입니다.
자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하세요.
## SCEP 관리 이벤트용 커넥터
SCEP용 커넥터는 CloudTrail과 통합되어 SCEP용 커넥터에서 사용자, 역할 또는 AWS 서비스가 수행한 API 작업을 기록합니다. CloudTrail을 사용하여 SCEP API 요청에 대한 커넥터를 실시간으로 모니터링하고 Amazon Simple Storage Service, Amazon CloudWatch Logs 및 Amazon CloudWatch Events에 로그를 저장할 수 있습니다. SCEP용 커넥터는 다음 작업을 CloudTrail 로그 파일에 이벤트로 로깅하는 것을 지원합니다.
+ [CreateChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateChallenge.html)
+ [CreateConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateConnector.html)
+ [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)
+ [GetChallengeMetadata](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengeMetadata.html)
+ [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)
+ [DeleteConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteConnector.html)
+ [DeleteChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteChallenge.html)
## CloudTrail의 SCEP 데이터 이벤트용 커넥터
[데이터 이벤트](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)는 클라이언트가 커넥터 엔드포인트에 SCEP `GetCACaps` 메시지를 보낼 때 리소스에서 또는 리소스에서 수행되는 리소스 작업에 대한 정보를 제공합니다. 이를 데이터 플레인 작업이라고도 합니다. 데이터 이벤트는 흔히 대량 활동입니다. 기본적으로 CloudTrail은 데이터 이벤트를 로깅하지 않으며 CloudTrail **이벤트 기록은** 이를 기록하지 않습니다.
데이터 이벤트에는 추가 요금이 적용됩니다. CloudTrail 요금에 관한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
CloudTrail 콘솔 AWS CLI또는 CloudTrail API 작업을 사용하여 `AWS::PCAConnectorSCEP::Connector` 리소스 유형에 대한 데이터 이벤트를 로깅할 수 있습니다. 데이터 이벤트를 로깅하는 방법에 관한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [AWS Management Console을 사용한 데이터 이벤트 로깅](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) 및 [AWS Command Line Interface를 사용한 이벤트 데이터 로깅](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI)을 참조하세요.
다음 표에는 데이터 이벤트를 로깅할 수 있는 SCEP용 커넥터 리소스 유형이 나열되어 있습니다. **데이터 이벤트 유형(콘솔)** 열에는 CloudTrail 콘솔의 **데이터 이벤트 유형** 목록에서 선택할 값이 표시됩니다. **resources.type 값** 열에는 AWS CLI 또는 CloudTrail APIs를 사용하여 고급 이벤트 선택기를 구성할 때 지정하는 `resources.type` 값이 표시됩니다. **CloudTrail에 로깅되는 데이터 API** 열에는 리소스 유형에 대해 CloudTrail에 로깅된 API 직접 호출이 표시됩니다.
| 데이터 이벤트 유형(콘솔) | resources.type 값 | CloudTrail에 로깅되는 데이터 API |
| --- | --- | --- |
| 지원 | AWS::PCAConnectorSCEP::Connector | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/privateca/latest/userguide/logging-using-cloudtrail-c4scep.html) |
`eventName`, `readOnly` 및 `resources.ARN` 필드를 필터링하여 중요한 이벤트만 로깅하도록 고급 이벤트 선택기를 구성할 수 있습니다. 다음 예제는 특정 함수에 대한 이벤트만 로깅하는 데이터 이벤트 구성의 JSON 뷰입니다. 이러한 필드에 대한 자세한 내용은 **AWS CloudTrail API 참조의 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) 섹션을 참조하세요.
```
[
{
"name": "connector-scep-events",
"fieldSelectors": [
{
"field": "eventCategory",
"equals": [
"Data"
]
},
{
"field": "resources.type",
"equals": [
"AWS::PCAConnectorSCEP::Connector"
]
},
{
"field": "resources.ARN",
"equals": [
"arn:aws:pca-connector-scep:US West (N. California):111122223333:connector/11223344-1122-2233-3344-cae95a00d2a7"
]
}
]
}
]
```
## 예제 항목
트레일이란 지정한 S3 버킷에 이벤트를 로그 파일로 입력할 수 있게 하는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함될 수 있습니다. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 직접 호출의 주문 스택 트레이스가 아니므로 특정 순서로 표시되지 않습니다.
**예제 1: 관리 이벤트, `CreateConnector`**
다음은 `CreateConnector` 작업을 설명하는 CloudTrail 로그 항목을 보여 주는 예시입니다.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "my-user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:48:07Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateConnector",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ClientToken": "11223344-2222-3333-4444-666555444555",
"CertificateAuthorityArn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"
},
"responseElements": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**예제 2: 관리 이벤트, `CreateChallenge`**
다음은 `CreateChallenge` 작업을 설명하는 CloudTrail 로그 항목을 보여 주는 예시입니다.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:47:52Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateChallenge",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ClientToken": "11223344-2222-3333-4444-666555444555"
},
"responseElements": {
"Challenge": {
"Arn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/9cac40bc-acba-412e-9a24-f255ef2fe79a/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"CreatedAt": 1723830472.942,
"Password": "***",
"UpdatedAt": 1723830472.942
}
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**예제 3: 관리 이벤트, `GetChallengePassword`**
다음은 `GetChallengePassword` 작업을 설명하는 CloudTrail 로그 항목을 보여 주는 예시입니다.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "905418114790",
"userName": "111122223333"
},
"attributes": {
"creationDate": "2024-08-16T17:55:01Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "signin.amazonaws.com"
},
"eventTime": "2024-08-16T17:55:54Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "GetChallengePassword",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ChallengeArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:challenge/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**예제 4: 데이터 이벤트, `PkiOperationPost`**
다음 예제에서는 실패한 `PkiOperationPost` 호출을 보여주는 CloudTrail 로그 항목을 보여줍니다. 로그에는 오류 코드와 오류 메시지와 실패에 대한 설명이 포함되어 있습니다.
```
{
"eventVersion": "1.10",
"userIdentity": {
"type": "FederatedUser",
"principalId": "111122223333",
"accountId": "111122223333"
},
"eventTime": "2024-08-16T17:40:09Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "PkiOperationPost",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"errorCode": "BadRequestException",
"errorMessage": "The certificate authority is not in a valid state for issuing certificates (Service: AcmPca, Status Code: 400, Request ID: a1b2c3d4-5678-90ab-cdef-EXAMPLE55555)",
"requestParameters": null,
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::PCAConnectorSCEP::Connector",
"ARN": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "905418114790",
"eventCategory": "Data",
"tlsDetails": {
"clientProvidedHostHeader": "111122223333-a1b2c3d4-5678-90ab-cdef-EXAMPLE33333.enroll.pca-connector-scep.us-east-1.api.aws"
}
}
```
# SCEP 문제에 대한 AWS Private Certificate Authority 커넥터 문제 해결
SCEP용 커넥터 구현과 관련된 문제를 해결해야 할 수 있습니다. 이 장에서는 서비스에서 전송한 HTTP 및 클라이언트 오류에 대한 자세한 정보를 제공합니다.
**Topics**
+ [SCEP용 커넥터의 HTTP 오류 문제 해결](c4scep-troubleshoot-http-error.md)
+ [SCEP 클라이언트 오류에 대한 커넥터 문제 해결](troubleshoot-connector-scep-client-errors.md)
# SCEP용 커넥터의 HTTP 오류 문제 해결
클라이언트가 SCEP용 커넥터 데이터 영역 API 작업을 트리거하고 오류가 발생하면 SCEP용 커넥터는 오류에 대한 정보와 함께 HTTP 응답 코드를 요청 클라이언트에 전송합니다.
클라이언트에 직접 제공되는 서비스 응답 외에도 [SCEP용 모니터 커넥터](c4scep-monitoring-overview.md) 섹션에 설명된 모니터링 도구를 사용하여 HTTP 오류를 초래하는 오류를 보고 디버깅할 수 있습니다.
다음은 서비스에서 SCEP 클라이언트에 반환하는 오류 메시지, 잠재적 원인 및 문제 해결을 위해 취할 수 있는 단계입니다.
## HTTP 400 잘못된 요청
HTTP 400 응답 코드는 요청에 누락되거나 유효하지 않은 데이터와 같은 명백한 클라이언트 오류로 인해 SCEP용 커넥터가 요청을 처리할 수 없음을 의미합니다. SCEP 프로토콜별 오류로 인해 오류가 발생하는 경우 SCEP용 커넥터에는 메시지에 SCEP 응답이 바이너리로 포함됩니다. SCEP APIs용 커넥터는 다음과 같은 이유로 400개의 응답을 반환할 수 있습니다.
| 응답 헤더(x-amzn-ErrorType) | 오류 메시지(x-amzn-ErrorMessage) | 근본 원인: | 문제 해결 | SCEP 응답을 포함하나요? |
| --- | --- | --- | --- | --- |
| LimitExceededException | 인증 기관 발급 한도를 초과했습니다. | 커넥터와 연결된 사설 인증 기관(CA)이 발급할 수 있는 인증서 수에 대한 할당량을 초과했습니다. | SCEP 커넥터는 수명 동안 하나의 프라이빗 CA에만 연결할 수 있습니다. 프라이빗 CA의 한도를 모두 사용한 경우 새 커넥터를 생성하거나 할당량 증가를 요청합니다. 프라이빗 CA 할당량에 대한 자세한 내용은 [AWS Private Certificate Authority 할당량을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). | 아니요 |
| ValidationException | 요청에 base64가 포함되어야 합니다. | 본문이 유효한 Base64가 아니므로 SCEP용 커넥터가 HTTP GET 요청을 처리할 수 없습니다. | 가능하면 HTTP GET 메시지 대신 HTTP POST 메시지를 사용하도록 클라이언트를 구성합니다. HTTP GET을 사용해야 하는 경우 메시지는 Base64 형식을 사용해야 합니다. 클라이언트가 이러한 요구 사항과 호환되지 않는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 지원을 받으세요. | 아니요 |
| ValidationException | 인증 기관이 활성 상태가 아닙니다. | 커넥터와 연결된 프라이빗 CA가 비활성 상태입니다. | 프라이빗 CA를 다시 활성화합니다. 자세한 내용은 [에서 프라이빗 CA 업데이트 AWS Private Certificate Authority](PCAUpdateCA.md) 단원을 참조하세요. | 아니요 |
| ValidationException | 인증 기관 인증서 유효 기간은 오늘부터 1년 이상이어야 합니다. | 범용 커넥터와 연결된 프라이빗 CA의 유효 기간은 오늘부터 1년이어야 합니다. | 오늘부터 1년 이상의 유효 기간이 있는 인증서를 다시 발급합니다. 인증서 관리에 대한 자세한 내용은 섹션을 참조하세요[프라이빗 CA 수명 주기 관리](ca-lifecycle.md). | 아니요 |
| ValidationException | 요청에 포함된 인증서가 만료되었습니다. | 각 트랜잭션에서 클라이언트 디바이스가 생성한 임시 인증서가 서비스 수신 시 만료되었습니다. | 클라이언트 디바이스에 시간 설정이 제대로 구성되지 않아 날짜가 실시간보다 뒤쳐진 인증서를 생성하고 있을 가능성이 높습니다. 이 문제를 해결할 수 없는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 도움을 받으세요. | 아니요 |
| ValidationException | 요청에 잘못된 암호화 메시지 구문이 포함되어 있습니다. | 서비스가 SCEP 요청 메시지를 디코딩할 수 없습니다. | SCEP 메시지가 [SCEP RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html)에 정의된 암호화 메시지 구문을 준수하는지 확인합니다. 이 문제를 해결할 수 없는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 도움을 받으세요. | 아니요 |
| ValidationException | 커넥터가 활성 상태가 아닙니다. | 커넥터의 상태가 **활성** 상태가 아닙니다. | 콘솔 또는 API의 상태 필드에서 커넥터의 [상태를](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_Connector.html#:~:text=Required%3A%20No-,StatusReason,-Information%20about%20why) 찾을 수 있습니다. 커넥터의 상태는 **생성**, **활성**, **삭제** 또는 **실패**일 수 있습니다. 상태가 **생성** 중이면 나중에 요청을 시도하세요. 상태가 **실패**하면 상태 이유를 보고 문제를 해결한 다음 새 커넥터를 생성합니다. | 아니요 |
| ValidationException | 요청에 유효한 인증서가 포함되어 있어야 합니다. | 클라이언트의 요청 메시지에 포함된 임시 인증서가 누락되었거나 유효하지 않습니다. | SCEP 호환 클라이언트는 자체 인증을 위해 자체 서명된 인증서를 제공해야 합니다. 클라이언트가 필요한 자체 서명 인증서를 제공할 수 없는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 지원을 받으세요. | 아니요 |
| ValidationException | 요청 URI가 잘못되었습니다. | 요청의 URI 경로 또는 쿼리가 유효하지 않아 SCEP용 커넥터가 요청을 구문 분석할 수 없습니다. | 관리자는 일반적으로 모바일 디바이스 관리(MDM) 시스템을 통해 관리되는 클라이언트 디바이스의 구성 설정을 확인해야 합니다. 자세한 내용은 [2단계: MDM 시스템에 커넥터 세부 정보 복사](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details) 단원을 참조하십시오. | 아니요 |
| ValidationException | 요청에 정확히 하나의 호스트 헤더가 필요합니다. | 클라이언트가 요청에 유효한 HTTP 호스트 헤더를 제공하지 않았습니다.이 헤더는 요청을 처리하는 데 필요합니다. | HTTP 호스트 헤더는 서로 다른 커넥터로 들어오는 요청을 구분하는 데 필요합니다. 클라이언트가 필요한 HTTP 호스트 헤더를 제공할 수 없는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 지원을 받으세요. | 아니요 |
| ValidationException | 요청을 디코딩할 수 없습니다. 유효한 SCEP 요청을 전송하십시오. | 서비스가 클라이언트가 보낸 암호화 메시지 구문(CMS) 요청을 디코딩하고 처리할 수 없습니다. | 클라이언트가 SCEP 구현에 문제가 있는 경우 응답의 요청 ID(`x-amzn-requestid`)를 기록하고에 문의하세요[AWS Support](https://aws.amazon.com/contact-us/). | 아니요 |
| ValidationException | 요청에서 파생된 값으로 응답을 인코딩할 수 없습니다. 유효한 SCEP 요청을 전송하십시오. | 서비스가 SCEP 응답을 인코딩할 수 없습니다. | 이 문제는 일반적으로 서비스가 제공된 요청자 인증서를 사용하여 SCEP 응답 메시지를 올바르게 인코딩할 수 없는 경우에 발생합니다. 예를 들어 요청자 인증서에 SCEP용 커넥터가 지원하지 않는 타원 곡선 디지털 서명 알고리즘(ECDSA) 키가 있는 경우이 문제가 발생할 수 있습니다. 이 문제가 발생하면 먼저 RSA를 사용하도록 MDM 또는 SCEP 클라이언트를 구성합니다. 그래도 문제를 해결할 수 없는 경우 응답의 요청 ID(`x-amzn-requestid`)를 기록하고 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 도움을 받으세요. | 아니요 |
| ValidationException | 지원되지 않는 알고리즘: | 요청이 지원되지 않는 암호화 알고리즘에 의해 서명되거나 암호화되었습니다. | 당사의 서비스는 특정 오래된 암호화 알고리즘과 취약한 암호화 알고리즘을 지원하지 않습니다. 이 정보는 `GetCACaps` 요청을 통해 클라이언트에 전달됩니다. 그러나 일부 클라이언트는이 방법을 사용하여 지원되는 알고리즘을 확인하지 않을 수 있습니다. 클라이언트가 서비스에서 지원하는 암호화 알고리즘과 호환되지 않는 것으로 보이는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 지원을 받으세요. | 아니요 |
| ValidationException | 지원되지 않는 PkiOperation messageType입니다. | 요청 메시지에 잘못된 `PkiOperation` 메시지 유형이 포함되어 있어 서비스에서 처리할 수 없습니다. | 당사의 서비스는 RFC 8894에 정의된 SCEP 프로토콜 메시지 유형의 하위 집합만 지원합니다. 특히 CertRep, PKCSReq, GetCert, GetCRL 및 CertPoll 메시지 유형을 인식하고 처리합니다. GetCACaps 메서드를 통해 지원되는 메시지 유형을 클라이언트에 전달합니다. 안타깝게도 일부 클라이언트는이 방법을 사용하지 않을 수 있으며 서비스의 기능을 준수하지 않을 수 있습니다. 클라이언트가 서비스에서 지원하는 SCEP 메시지 유형과 호환되지 않는 것으로 보이는 경우에 문의하세요[AWS Support](https://aws.amazon.com/contact-us/). | 아니요 |
| BadRequestException | 챌린지 암호가 잘못되었습니다. | 클라이언트가 제공한 챌린지 암호가 연락한 서비스 엔드포인트 및 연결된 커넥터에 유효하지 않았습니다. 챌린지 암호는 권한이 있는 클라이언트만 서비스에 액세스할 수 있도록 SCEP 프로토콜에 정의된 필수 보안 조치입니다. | 클라이언트가 요청에 올바른 챌린지 암호를 제공하고 있는지 확인합니다. 콘솔의 커넥터 세부 정보 또는 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) API를 통해 찾을 수 있습니다. 자세한 내용은 [2단계: MDM 시스템에 커넥터 세부 정보 복사](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details) 단원을 참조하십시오. | 예 |
| BadRequestException | 인증서 서명 요청에 정확히 하나의 챌린지 암호가 필요합니다. | 클라이언트는 요청에 0개 또는 여러 개의 챌린지 암호를 제공했습니다. | 클라이언트가 요청에 하나의 챌린지 암호를 제공하고 있는지 확인합니다. 콘솔의 커넥터 세부 정보 또는 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) API를 통해 챌린지 암호를 찾을 수 있습니다. 자세한 내용은 [2단계: MDM 시스템에 커넥터 세부 정보 복사](connector-for-scep-getting-started.md#gs-connector-for-scep-view-details) 단원을 참조하십시오. | 예 |
| BadRequestException | 커넥터는 Azure에 액세스할 수 없습니다. | Microsoft Intune용 커넥터는 Microsoft Intune을 통해 클라이언트 요청을 승인합니다. 이를 위해서는 SCEP용 커넥터가 Azure 리소스에 액세스할 수 있는 권한을 부여해야 합니다. | 에 자세히 설명된 권한을 구성합니다[1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca). | 예 |
| BadRequestException | Azure 애플리케이션은 을 수행할 수 있는 액세스 권한이 없습니다. | Microsoft Intune용 커넥터는 Microsoft Intune을 통해 클라이언트 요청을 승인합니다. 이를 위해서는 SCEP용 커넥터가 Azure 리소스에 액세스할 수 있는 권한을 부여해야 합니다. | 에 자세히 설명된 권한을 구성합니다[1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여1단계: Microsoft Entra ID 애플리케이션을 사용할 수 있는 AWS Private CA 권한 부여](connector-for-scep-intune.md#connector-for-scep-intune-configure-pca). | 예 |
| BadRequestException | Azure 애플리케이션을 찾을 수 없습니다. | Microsoft Intune용 커넥터는 Microsoft Intune을 통해 클라이언트 요청을 승인합니다. 이 오류는 Microsoft Entra ID에 앱 등록이 없거나 커넥터의 Intune 세부 정보가 잘못 구성되었음을 나타냅니다. | [SCEP용 커넥터용 Microsoft Intune 구성Microsoft Intune 구성](connector-for-scep-intune.md) 주제의 지침을 따릅니다. | 예 |
| BadRequestException | Intune 인증서 서명 요청 검증에 실패했습니다. 이유: <이유> | Microsoft Intune용 커넥터는 Microsoft Intune을 통해 클라이언트 요청을 승인합니다. 이 오류 메시지는 Intune 검증 프로세스가 실패했으며 해당 Intune 오류 코드가 제공되었음을 나타냅니다. | [SCEP용 커넥터용 Microsoft Intune 구성Microsoft Intune 구성](connector-for-scep-intune.md) 주제의 지침을 따릅니다. 문제가 지속되면 Microsoft Support에 문의하십시오. | 예 |
| BadRequestException | 지원되지 않는 PkiOperation messageType: . | 요청 메시지에 잘못된 메시지 유형이 포함되어 있어 서비스에서 처리할 수 없습니다. | 당사의 서비스는 RFC 8894에 정의된 SCEP 프로토콜 메시지 유형의 하위 집합만 지원합니다. 특히 CertRep, PKCSReq, GetCert, GetCRL 및 CertPoll 메시지 유형을 인식하고 처리합니다. GetCACaps 메서드를 통해 지원되는 메시지 유형을 클라이언트에 전달합니다. 안타깝게도 일부 클라이언트는이 방법을 사용하지 않을 수 있으며 서비스의 기능을 준수하지 않을 수 있습니다. 클라이언트가 서비스에서 지원하는 SCEP 메시지 유형과 호환되지 않는 것으로 보이는 경우에 문의하세요[AWS Support](https://aws.amazon.com/contact-us/). | 예 |
| BadRequestException | 키 알고리즘 또는 길이는 지원되지 않습니다. | 이 서비스는 인증서 서명 요청에 포함된 제공된 퍼블릭 키를 지원하지 않습니다. | 서비스는 최대 16,384비트의 표준 RSA 키와 최대 521비트의 ECDSA 키만 지원합니다. 클라이언트가 현재 지원되지 않는 알고리즘을 사용해야 하는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 도움을 받으세요. | 예 |
## HTTP 401 무단
401 승인되지 않음 응답 상태 코드는 요청된 리소스에 대한 유효한 인증 자격 증명이 없기 때문에 클라이언트 요청이 완료되지 않았음을 나타냅니다.
| 응답 헤더(x-amzn-ErrorType) | 오류 메시지(x-amzn-ErrorMessage) | 근본 원인: | 문제 해결 | SCEP 응답을 포함하나요? |
| --- | --- | --- | --- | --- |
| AccessDeniedException | 커넥터는 인증 기관에 액세스할 수 없습니다. | SCEP용 커넥터는 커넥터의 연결된 프라이빗 CA에 액세스할 수 없습니다. | 를 사용하여 SCEP용 커넥터와 프라이빗 CA를 공유합니다 AWS Resource Access Manager. | 아니요 |
| AccountDoesNotExistException | AWS 계정이 존재하지 않습니다. | SCEP 리소스용 커넥터가 더 이상 존재하지 않습니다. | 대상 리소스를 소유한 계정이 삭제되었습니다. 실수로이 작업을 수행한 경우 해지 후 90일 [AWS Support](https://aws.amazon.com/contact-us/) 이내에에 문의하세요. | 아니요 |
## HTTP 404를 찾을 수 없음
HTTP 404 응답 코드는 일반적으로 찾고 있던 리소스를 찾을 수 없음을 의미합니다.
| 응답 헤더(x-amzn-ErrorType | 오류 메시지(x-amzn-ErrorMessage) | 근본 원인: | 문제 해결 | SCEP 응답을 포함하나요? |
| --- | --- | --- | --- | --- |
| ResourceNotFoundException | 인증 기관이 존재하지 않습니다. | 커넥터의 연결된 프라이빗 CA가 삭제되었습니다. | 실수로 삭제된 경우 프라이빗 인증 기관(CA)을 복원할 수 있는 유예 기간이 있습니다. 자세한 내용은 [프라이빗 CA 복원](PCARestoreCA.md) 단원을 참조하십시오. | 아니요 |
| ResourceNotFoundException | 엔드포인트가 인 커넥터가 존재하지 않습니다. | 클라이언트 디바이스가 기존 커넥터에 속하지 않는 URL에 연결을 시도했습니다. | 클라이언트가 커넥터에 올바른 엔드포인트를 제공하는지 확인합니다. 커넥터의를 보려면 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) API를 `Endpoint`호출하거나 콘솔의 커넥터 세부 정보 페이지에서 확인합니다. | 아니요 |
## HTTP 409 충돌
HTTP 409 충돌 응답은 요청이 시작된 이후 커넥터와 연결된 프라이빗 CA가 변경되었음을 알립니다.
| 응답 헤더(x-amzn-ErrorType) | 오류 메시지(x-amzn-ErrorMessage) | 근본 원인: | 문제 해결 | SCEP 응답을 포함하나요? |
| --- | --- | --- | --- | --- |
| ConflictException | 요청이 시작된 이후 커넥터가 변경되었습니다. | 커넥터와 연결된 프라이빗 CA가 업데이트되어 SCEP를 통해 클라이언트 디바이스와 통신하는 데 사용되는 커넥터의 내부 인증서가 교체됩니다. 이 인증서 교체로 인해 새 인증서가 배포 중이므로 업데이트 기간 동안 일시적인 문제가 발생할 수 있습니다. 그러나이 오류는 적시에 자동으로 해결되어야 합니다. | 몇 분 후에 요청을 다시 시도하세요. 문제가 해결되지 않으면 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 도움을 받으세요. | 아니요 |
## HTTP 429 요청 과다
SCEP용 커넥터에는 리전별로 계정 수준 할당량이 있습니다. 커넥터에 대한 요청 한도를 초과하면 HTTP 429 오류와 함께 요청이 거부됩니다. 할당량을 늘려야 하는 경우 [AWS Private Certificate Authority 엔드포인트 및 할당량을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/pca.html).
| 응답 헤더(x-amzn-ErrorType) | 오류 메시지(x-amzn-ErrorMessage) | 근본 원인: | 문제 해결 | SCEP 응답을 포함하나요? |
| --- | --- | --- | --- | --- |
| ThrottlingException | 요청 스로틀링으로 인해 요청이 거부되었습니다. | 이 커넥터에 너무 많은 요청이 실행되어 일부 요청이 거부됩니다. 이 인증서 교체로 인해 새 인증서가 배포 중이므로 업데이트 기간 동안 일시적인 문제가 발생할 수 있습니다. 그러나이 오류는 적시에 자동으로 해결되어야 합니다. | 커넥터에 대한 요청 한도를 초과하면 요청이 거부됩니다. 할당량을 늘려야 하는 경우 [SCEP 엔드포인트 및 할당량용 커넥터를 참조하세요](https://docs.aws.amazon.com/general/latest/gr/pca.html). | 아니요 |
# SCEP 클라이언트 오류에 대한 커넥터 문제 해결
다음 지침을 사용하여 SCEP용 커넥터와 관련된 클라이언트 오류를 해결합니다.
| 메시지 예제 | 근본 원인: | Solution |
| --- | --- | --- |
| ECDSA 키는 지원되지 않습니다. | 커넥터는 RSA 대신 ECDSA 키를 사용하는 프라이빗 CA에 연결됩니다. 이 서비스는 ECDSA 키를 지원하지만 일부 클라이언트 디바이스는이 알고리즘과 호환되지 않을 수 있습니다. | ECDSA 대신 RSA로 암호화된 프라이빗 CA를 사용하는 것이 좋습니다. RSA를 사용하는 프라이빗 CA를 생성하는 경우 새 커넥터도 생성해야 합니다. 커넥터는 수명을 통해 하나의 프라이빗 CA에만 연결할 수 있습니다. |
| 암호화 또는 서명 인증서가 없음 | RFC 8894에 따르면 SCEP 서비스는 중간 CA 인증서를 클라이언트에 반환합니다. 이러한 인증서는 클라이언트가 SCEP 프로토콜의 일부로 암호화 및 서명 검증 작업을 수행하는 데 사용됩니다. SCEP용 커넥터는 암호화 및 서명 검증 모두에 동일한 인증서를 사용하며, 이는 일반적인 접근 방식입니다. 그러나 일부 클라이언트는 대신 두 개의 개별 인증서를 가질 것으로 예상할 수 있습니다. | 호환되는 클라이언트를 사용할 수 없는 경우 [AWS Support](https://aws.amazon.com/contact-us/)에 문의하여 지원을 받으세요. |